Gegutės vagis
Kibernetinio saugumo tyrėjai atskleidė naują grėsmę, nukreiptą į „Apple MacOS“ sistemas, skirtas užtikrinti nuolatinę prieigą prie pažeistų pagrindinių kompiuterių ir veikti kaip šnipinėjimo programos. Ši kenkėjiška programa, pavadinta „Cuckoo“, yra universali dvejetainė „Mach-O“, galinti veikti tiek „Intel“, tiek „Arm“ pagrindu veikiančiuose „Mac“ kompiuteriuose.
Konkretus paskirstymo būdas lieka neaiškus. Tačiau yra požymių, kad dvejetainis failas yra priglobtas keliose svetainėse (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com ir tunefab.com), kuriose neva teikiamos nemokamos ir mokamos programos, skirtos muzikai kopijuoti iš srautinio perdavimo paslaugų ir konvertuoti. jį į MP3 formatą.
Turinys
„Cuckoo Stealer“ užtikrina atkaklumą užkrėstame „Mac“.
Disko vaizdo failas, gautas iš šių svetainių, inicijuoja bash apvalkalą, kad būtų renkama pagrindinio kompiuterio informacija. Tai užtikrina, kad pažeista mašina nėra Armėnijoje, Baltarusijoje, Kazachstane, Rusijoje ar Ukrainoje. Apgaulingas dvejetainis failas paleidžiamas tik tuo atveju, jei lokalės patikrinimas pavyksta.
Be to, jis užtikrina patvarumą naudojant LaunchAgent – metodą, kurį anksčiau naudojo įvairios kenkėjiškų programų šeimos, tokios kaip RustBucket , XLoader , JaskaGO , ir macOS užpakalines duris, kurios yra panašios į ZuRu .
Panašiai kaip MacStealer MacOS kenkėjiška programa, Cuckoo naudoja osascript, kad pateiktų suklastotą slaptažodžio raginimą, apgaudinėdama vartotojus įvesti savo sistemos slaptažodžius privilegijų eskalavimui. Ši kenkėjiška programa taip pat nuskaito konkrečius failus, susietus su konkrečiomis programomis, siekdama surinkti išsamią sistemos informaciją.
„Cuckoo Stealer“ pažeidžia jautrią informaciją iš pažeistų įrenginių
„Cuckoo“ kenkėjiška programa skirta vykdyti komandų seką, skirtą aparatinės įrangos detalei išgauti, aktyviems procesams užfiksuoti, įdiegtų programų užklausoms, ekrano kopijų darymui ir duomenų rinkimui iš įvairių šaltinių, įskaitant „iCloud Keychain“, „Apple Notes“, žiniatinklio naršykles, kriptovaliutų pinigines ir konkrečius tokias programas kaip Discord, FileZilla, Steam ir Telegram.
Kiekviena grėsminga programa turi įdėtą programų paketą savo išteklių kataloge. Dauguma šių rinkinių, išskyrus iš fonedog.com, yra pasirašyti ir turi galiojantį kūrėjo ID, priskirtą Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Pažymėtina, kad fonedog.com kartu su kitais pasiūlymais priglobė „Android“ atkūrimo įrankį, o jo papildomame programų pakete yra „FoneDog Technology Limited“ (CUAU2GTG98) kūrėjo ID.
„Mac“ įrenginiai tapo dažnu kenkėjiškų programų atakų taikiniu
Kibernetiniai nusikaltėliai diegė kenkėjiškų programų įrankius, skirtus „Mac“ įrenginiams, o vienas ryškus pavyzdys yra „AdLoad “ kenkėjiškų programų šeima. Neseniai informacijos saugumo tyrinėtojai sukėlė pavojaus signalą dėl naujo šios liūdnai pagarsėjusios kenkėjiškos programos varianto, pavadinto Rload (taip pat žinomo kaip Lador), parašyto Go programavimo kalba. „Rload“ sukurta apeiti „Apple XProtect“ kenkėjiškų programų parašų sąrašą ir yra sudaryta specialiai „Intel x86_64“ architektūrai.
Šie dvejetainiai failai veikia kaip pradiniai lašintuvai tolesniuose naudingosios apkrovos etapuose. Šiuo metu tikslūs platinimo būdai lieka neaiškūs. Tačiau šie lašintuvai paprastai randami įterpti į nulaužtas arba trojanizuotas programas, platinamas per kenkėjiškas svetaines.
„AdLoad“ – reklaminių programų kampanija, veikianti „macOS“ mažiausiai nuo 2017 m., garsėja paieškos variklio rezultatų užgrobimu ir reklamų įvedimu į tinklalapius. Tai pasiekiama naudojant tarpinio žiniatinklio tarpinio serverio sąranką, nukreipiant naudotojo žiniatinklio srautą per užpuoliko infrastruktūrą siekiant finansinės naudos.
