Dzeguzes zaglis
Kiberdrošības pētnieki ir atklājuši jaunus draudus, kas vērsti uz Apple macOS sistēmām, kas paredzēti, lai nodrošinātu pastāvīgu piekļuvi apdraudētiem saimniekdatoriem un darbotos kā spiegprogrammatūra. Šī ļaunprogrammatūra ar nosaukumu Cuckoo ir universāla Mach-O bināra programma, kas var darboties gan Intel, gan Arm balstītos Mac datoros.
Konkrētā izplatīšanas metode joprojām ir neskaidra. Tomēr ir pazīmes, ka binārais fails tiek mitināts vairākās vietnēs (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com un tunefab.com), kas piedāvā bezmaksas un maksas lietojumprogrammas mūzikas izvilkšanai no straumēšanas pakalpojumiem un konvertēšanai. to MP3 formātā.
Satura rādītājs
Cuckoo Stealer nodrošina noturību inficētajā Mac datorā
Diska attēla fails, kas iegūts no šīm vietnēm, iniciē bash apvalku, lai apkopotu informāciju par resursdatoru. Tas nodrošina, ka kompromitētā iekārta neatrodas Armēnijā, Baltkrievijā, Kazahstānā, Krievijā vai Ukrainā. Krāpnieciskais binārais fails tiek palaists tikai tad, ja lokalizācijas pārbaude ir veiksmīga.
Turklāt tas nodrošina noturību, izmantojot LaunchAgent — metodi, ko iepriekš izmantoja dažādas ļaunprātīgas programmatūras grupas, piemēram, RustBucket , XLoader , JaskaGO , un MacOS aizmugures durvis, kurām ir līdzības ar ZuRu .
Līdzīgi kā MacStealer macOS ļaunprogrammatūra, Cuckoo izmanto osascript, lai parādītu viltotas paroles uzvedni, maldinot lietotājus ievadīt sistēmas paroles privilēģiju eskalācijai. Šī ļaunprogrammatūra arī skenē konkrētus failus, kas saistīti ar noteiktām lietojumprogrammām, cenšoties apkopot plašu sistēmas informāciju.
Dzeguzes zaglis apdraud sensitīvu informāciju no uzlauztām ierīcēm
Cuckoo Malware ir izstrādāta, lai izpildītu virkni komandu, kuru mērķis ir iegūt aparatūras detaļas, tvert aktīvos procesus, veikt vaicājumus par instalētajām lietojumprogrammām, uzņemt ekrānuzņēmumus un iegūt datus no dažādiem avotiem, tostarp iCloud Keychain, Apple Notes, tīmekļa pārlūkprogrammām, šifrēšanas makiem un konkrētiem. lietojumprogrammas, piemēram, Discord, FileZilla, Steam un Telegram.
Katra apdraudoša lietojumprogramma savā resursu direktorijā ietver iegultu lietojumprogrammu komplektu. Lielākā daļa šo komplektu, izņemot vietnes fonedog.com, ir parakstīti, un tiem ir derīgs izstrādātāja ID, kas piešķirts Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Jo īpaši vietnē fonedog.com kopā ar citiem piedāvājumiem tika mitināts Android atkopšanas rīks, un tā papildu lietojumprogrammu komplektā ir FoneDog Technology Limited (CUAU2GTG98) izstrādātāja ID.
Mac ierīces ir kļuvušas par biežu ļaunprātīgas programmatūras uzbrukumu mērķi
Kibernoziedznieki ir izvietojuši ļaunprātīgas programmatūras rīkus, kas paredzēti Mac ierīcēm, un viens no spilgtākajiem piemēriem ir AdLoad ļaunprātīgas programmatūras saime. Nesen informācijas drošības pētnieki ir radījuši trauksmi par šīs bēdīgi slavenās ļaunprogrammatūras jaunu variantu ar nosaukumu Rload (pazīstams arī kā Lador), kas rakstīts Go programmēšanas valodā. Rload ir izstrādāts, lai apietu Apple XProtect ļaunprātīgas programmatūras parakstu sarakstu, un tas ir apkopots īpaši Intel x86_64 arhitektūrai.
Šie binārie faili darbojas kā sākotnējie novadītāji turpmākajiem slodzes posmiem. Pašlaik precīzas izplatīšanas metodes joprojām nav skaidras. Tomēr šie pilinātāji parasti ir iegulti uzlauztās vai trojānizētās lietojumprogrammās, kas tiek izplatītas, izmantojot ļaunprātīgas vietnes.
AdLoad, reklāmprogrammatūras kampaņa, kas ietekmē MacOS vismaz kopš 2017. gada, ir bēdīgi slavena ar meklētājprogrammu rezultātu nolaupīšanu un reklāmu ievietošanu tīmekļa lapās. Tas tiek panākts, izmantojot tīmekļa starpniekservera iestatīšanu, kas nodrošina lietotāja tīmekļa trafika novirzīšanu caur uzbrucēja infrastruktūru, lai gūtu finansiālu labumu.
