Gjøktyver

Cybersikkerhetsforskere har avdekket en ny trussel rettet mot Apple macOS-systemer, designet for å etablere vedvarende tilgang på kompromitterte verter og fungere som spionprogramvare. Denne skadevare som heter Cuckoo, er en universell Mach-O-binærfil som kan kjøres på både Intel- og Arm-baserte Mac-maskiner.

Den spesifikke distribusjonsmetoden er fortsatt usikker. Det er imidlertid tegn på at binærfilen er vert på flere nettsteder (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com og tunefab.com) som påstår å tilby gratis og betalte applikasjoner for å rippe musikk fra strømmetjenester og konvertere den til MP3-format.

Cuckoo Stealer etablerer utholdenhet på den infiserte Mac-en

Diskbildefilen hentet fra disse nettstedene starter et bash-skall for å samle vertsdetaljer. Det sikrer at den kompromitterte maskinen ikke er plassert i Armenia, Hviterussland, Kasakhstan, Russland eller Ukraina. Den falske binære filen kjører bare hvis lokalitetskontrollen lykkes.

Videre etablerer det utholdenhet ved å bruke en LaunchAgent, en metode som tidligere ble brukt av ulike skadevarefamilier som RustBucket , XLoader , JaskaGO og en macOS-bakdør som deler likheter med ZuRu .

I likhet med MacStealer macOS malware, bruker Cuckoo osascript for å presentere en falsk passordforespørsel, og lure brukere til å skrive inn systempassordene deres for å eskalere privilegier. Denne skadelige programvaren skanner også etter spesifikke filer knyttet til bestemte applikasjoner i et forsøk på å samle omfattende systeminformasjon.

The Cuckoo Stealer kompromitterer sensitiv informasjon fra ødelagte enheter

Cuckoo Malware er designet for å utføre en sekvens av kommandoer som tar sikte på å trekke ut maskinvaredetaljer, fange opp aktive prosesser, spørre etter installerte applikasjoner, ta skjermbilder og høste data fra ulike kilder, inkludert iCloud nøkkelring, Apple Notes, nettlesere, kryptolommebøker og spesifikke applikasjoner som Discord, FileZilla, Steam og Telegram.

Hvert truende program inkluderer en innebygd programpakke i ressurskatalogen. De fleste av disse pakkene, med unntak av de fra fonedog.com, er signert og har en gyldig utvikler-ID tilskrevet Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Spesielt var fonedog.com vert for et Android-gjenopprettingsverktøy sammen med andre tilbud, og dens ekstra applikasjonspakke har en utvikler-ID fra FoneDog Technology Limited (CUAU2GTG98).

Mac-enheter har blitt et hyppig mål for skadelig programvareangrep

Nettkriminelle har distribuert skadevareverktøy rettet mot Mac-enheter, med et fremtredende eksempel på AdLoad malware-familien. Nylig har informasjonssikkerhetsforskere slått alarm om en ny variant av denne beryktede skadevare kalt Rload (også kjent som Lador), skrevet i programmeringsspråket Go. Rload er designet for å omgå Apples XProtect-skadevaresignaturliste og er kompilert spesielt for Intel x86_64-arkitektur.

Disse binærfilene fungerer som innledende droppere for påfølgende nyttelaststadier. Foreløpig er de eksakte distribusjonsmetodene uklare. Imidlertid finnes disse dropperne vanligvis innebygd i sprukne eller trojaniserte applikasjoner distribuert gjennom ondsinnede nettsteder.

AdLoad, en adware-kampanje som har påvirket macOS siden minst 2017, er beryktet for å kapre søkemotorresultater og injisere annonser på nettsider. Dette oppnås gjennom et man-in-the-middle web proxy-oppsett, som omdirigerer brukernetttrafikk gjennom angriperens infrastruktur for økonomisk gevinst.