Pencuri Cuckoo
Penyelidik keselamatan siber telah menemui ancaman baharu yang menyasarkan sistem macOS Apple, yang direka untuk mewujudkan akses berterusan pada hos yang terjejas dan beroperasi sebagai perisian pengintip. Dinamakan Cuckoo, perisian hasad ini ialah binari Mach-O universal yang mampu berjalan pada kedua-dua Mac berasaskan Intel dan Arm.
Kaedah pengedaran khusus masih tidak pasti. Walau bagaimanapun, terdapat tanda bahawa binari dihoskan pada berbilang tapak web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com, dan tunefab.com) yang bertujuan untuk menyediakan aplikasi percuma dan berbayar untuk merobek muzik daripada perkhidmatan penstriman dan menukar kepada format MP3.
Isi kandungan
Pencuri Cuckoo Mewujudkan Kegigihan pada Mac yang Dijangkiti
Fail imej cakera yang diperoleh daripada tapak web ini memulakan shell bash untuk mengumpul butiran hos. Ia memastikan mesin yang terjejas tidak terletak di Armenia, Belarus, Kazakhstan, Rusia atau Ukraine. Perduaan penipuan berjalan hanya jika semakan setempat berjaya.
Tambahan pula, ia mewujudkan kegigihan menggunakan LaunchAgent, kaedah yang sebelum ini digunakan oleh pelbagai keluarga perisian hasad seperti RustBucket , XLoader , JaskaGO dan pintu belakang macOS yang berkongsi persamaan dengan ZuRu .
Sama seperti perisian hasad MacStealer macOS, Cuckoo menggunakan osaskrip untuk membentangkan gesaan kata laluan palsu, memperdaya pengguna untuk memasukkan kata laluan sistem mereka untuk peningkatan keistimewaan. Malware ini juga mengimbas fail tertentu yang dipautkan ke aplikasi tertentu dalam usaha untuk mengumpulkan maklumat sistem yang luas.
Pencuri Cuckoo Mengkompromi Maklumat Sensitif daripada Peranti Dilanggar
Cuckoo Malware direka bentuk untuk melaksanakan urutan perintah yang bertujuan untuk mengekstrak butiran perkakasan, menangkap proses aktif, menyoal aplikasi yang dipasang, mengambil tangkapan skrin dan menuai data daripada pelbagai sumber, termasuk Rantai Kunci iCloud, Nota Apple, penyemak imbas Web, dompet crypto dan khusus. aplikasi seperti Discord, FileZilla, Steam dan Telegram.
Setiap aplikasi yang mengancam termasuk himpunan aplikasi terbenam dalam direktori sumbernya. Kebanyakan himpunan ini, kecuali daripada fonedog.com, ditandatangani dan membawa ID Pembangun yang sah yang dikaitkan dengan Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Terutama sekali, fonedog.com menganjurkan alat pemulihan Android bersama-sama dengan tawaran lain, dan himpunan aplikasi tambahannya menampilkan ID pembangun daripada FoneDog Technology Limited (CUAU2GTG98).
Peranti Mac Telah Menjadi Sasaran Kerap Serangan Perisian Hasad
Penjenayah siber telah menggunakan alat perisian hasad yang ditujukan kepada peranti Mac, dengan satu contoh yang menonjol ialah keluarga perisian hasad AdLoad . Baru-baru ini, penyelidik keselamatan maklumat telah menimbulkan penggera tentang varian baharu perisian hasad terkenal ini yang dipanggil Rload (juga dikenali sebagai Lador), yang ditulis dalam bahasa pengaturcaraan Go. Rload direka bentuk untuk memintas senarai tandatangan perisian hasad XProtect Apple dan disusun khusus untuk seni bina Intel x86_64.
Binari ini bertindak sebagai penitis awal untuk peringkat muatan seterusnya. Pada masa ini, kaedah pengedaran yang tepat masih tidak jelas. Walau bagaimanapun, penitis ini biasanya ditemui tertanam dalam aplikasi retak atau trojan yang diedarkan melalui tapak web berniat jahat.
AdLoad, kempen adware yang menjejaskan macOS sejak sekurang-kurangnya 2017, terkenal kerana merampas hasil enjin carian dan menyuntik iklan ke dalam halaman Web. Ini dicapai melalui persediaan proksi web man-in-the-middle, mengubah hala trafik web pengguna melalui infrastruktur penyerang untuk keuntungan kewangan.
