뻐꾸기 도둑

사이버 보안 연구원들은 손상된 호스트에 대한 지속적인 액세스를 설정하고 스파이웨어로 작동하도록 설계된 Apple macOS 시스템을 표적으로 삼는 새로운 위협을 발견했습니다. Cuckoo라는 이름의 이 악성 코드는 Intel 및 Arm 기반 Mac 모두에서 실행될 수 있는 범용 Mach-O 바이너리입니다.

구체적인 배포 방법은 아직 불확실합니다. 그러나 스트리밍 서비스에서 음악을 리핑하고 변환하기 위한 무료 및 유료 애플리케이션을 제공한다고 주장하는 여러 웹사이트(dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com 및 tunefab.com)에서 바이너리가 호스팅된다는 징후가 있습니다. MP3 형식으로 변환합니다.

Cuckoo Stealer는 감염된 Mac에 지속성을 구축합니다.

이러한 웹 사이트에서 얻은 디스크 이미지 파일은 bash 셸을 시작하여 호스트 세부 정보를 수집합니다. 이는 손상된 시스템이 아르메니아, 벨로루시, 카자흐스탄, 러시아 또는 우크라이나에 위치하지 않도록 보장합니다. 사기성 바이너리는 로캘 확인이 성공한 경우에만 실행됩니다.

또한 이전에 RustBucket , XLoader , JaskaGO 와 같은 다양한 악성 코드 계열과 ZuRu 와 유사성을 공유하는 macOS 백도어에서 사용했던 방법인 LaunchAgent를 사용하여 지속성을 설정합니다.

MacStealer macOS 악성 코드와 유사하게 Cuckoo는 osascript를 사용하여 가짜 비밀번호 프롬프트를 표시하여 사용자가 권한 상승을 위해 시스템 비밀번호를 입력하도록 속입니다. 또한 이 악성코드는 광범위한 시스템 정보를 수집하기 위해 특정 애플리케이션에 연결된 특정 파일을 검사합니다.

Cuckoo Stealer는 침해된 장치의 민감한 정보를 손상시킵니다.

Cuckoo 악성코드는 하드웨어 세부 정보 추출, 활성 프로세스 캡처, 설치된 애플리케이션 쿼리, 스크린샷 캡처, iCloud 키체인, Apple Notes, 웹 브라우저, 암호화폐 지갑 및 특정 소스를 포함한 다양한 소스에서 데이터 수집을 목표로 하는 일련의 명령을 실행하도록 설계되었습니다. Discord, FileZilla, Steam 및 Telegram과 같은 애플리케이션.

각 위협 애플리케이션에는 리소스 디렉터리 내에 내장된 애플리케이션 번들이 포함되어 있습니다. fonedog.com의 번들을 제외한 대부분의 번들에는 Yian Technology Shenzhen Co., Ltd(VRBJ4VRP)의 유효한 개발자 ID가 서명되어 있습니다. 특히, fonedog.com은 다른 서비스와 함께 Android 복구 도구를 호스팅했으며 추가 애플리케이션 번들은 FoneDog Technology Limited(CUAU2GTG98)의 개발자 ID를 제공합니다.

Mac 장치는 맬웨어 공격의 빈번한 대상이 되었습니다.

사이버 범죄자들은 Mac 장치를 겨냥한 맬웨어 도구를 배포해 왔으며 대표적인 예가 AdLoad 맬웨어 계열입니다. 최근 정보 보안 연구원들은 Go 프로그래밍 언어로 작성된 Rload(Lador라고도 함)라는 악명 높은 악성 코드의 새로운 변종에 대해 경고했습니다. Rload는 Apple의 XProtect 맬웨어 서명 목록을 우회하도록 설계되었으며 Intel x86_64 아키텍처용으로 특별히 컴파일되었습니다.

이러한 바이너리는 후속 페이로드 단계의 초기 드롭퍼 역할을 합니다. 현재 정확한 배분 방식은 불분명한 상태다. 그러나 이러한 드로퍼는 일반적으로 악성 웹사이트를 통해 배포되는 크랙이 발생하거나 트로이 목마에 감염된 애플리케이션에 내장되어 있는 것으로 발견됩니다.

최소 2017년부터 macOS에 영향을 미친 애드웨어 캠페인인 AdLoad는 검색 엔진 결과를 가로채고 웹 페이지에 광고를 삽입하는 것으로 유명합니다. 이는 중간자 웹 프록시 설정을 통해 수행되며 금전적 이득을 위해 공격자의 인프라를 통해 사용자 웹 트래픽을 리디렉션합니다.