Koekoek steler
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe dreiging ontdekt die zich richt op Apple macOS-systemen, ontworpen om permanente toegang tot gecompromitteerde hosts tot stand te brengen en als spyware te fungeren. Deze malware, genaamd Cuckoo, is een universeel Mach-O-binair bestand dat zowel op Intel- als Arm-gebaseerde Macs kan draaien.
De specifieke wijze van distributie blijft onzeker. Er zijn echter tekenen dat het binaire bestand wordt gehost op meerdere websites (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com en tunefab.com) die beweren gratis en betaalde applicaties aan te bieden voor het rippen van muziek van streamingdiensten en het converteren naar MP3-formaat.
Inhoudsopgave
De Cuckoo Stealer zorgt voor persistentie op de geïnfecteerde Mac
Het schijfkopiebestand dat van deze websites wordt verkregen, initieert een bash-shell om hostgegevens te verzamelen. Het zorgt ervoor dat de gecompromitteerde machine zich niet in Armenië, Wit-Rusland, Kazachstan, Rusland of Oekraïne bevindt. Het frauduleuze binaire bestand wordt alleen uitgevoerd als de landinstellingscontrole slaagt.
Bovendien zorgt het voor persistentie met behulp van een LaunchAgent, een methode die eerder werd gebruikt door verschillende malwarefamilies zoals RustBucket , XLoader , JaskaGO en een macOS-achterdeur die overeenkomsten vertoont met ZuRu .
Net als de MacStealer macOS-malware gebruikt Cuckoo osascript om een valse wachtwoordprompt te presenteren, waardoor gebruikers worden misleid om hun systeemwachtwoorden in te voeren voor escalatie van bevoegdheden. Deze malware scant ook op specifieke bestanden die aan bepaalde applicaties zijn gekoppeld in een poging uitgebreide systeeminformatie te verzamelen.
De Cuckoo Stealer compromitteert gevoelige informatie van geschonden apparaten
De Cuckoo Malware is ontworpen om een reeks opdrachten uit te voeren die gericht zijn op het extraheren van hardwaredetails, het vastleggen van actieve processen, het opvragen van geïnstalleerde applicaties, het maken van schermafbeeldingen en het verzamelen van gegevens uit verschillende bronnen, waaronder iCloud-sleutelhanger, Apple Notes, webbrowsers, crypto-wallets en specifieke applicaties zoals Discord, FileZilla, Steam en Telegram.
Elke bedreigende applicatie bevat een ingebedde applicatiebundel in de bronmap. De meeste van deze bundels, met uitzondering van die van fonedog.com, zijn ondertekend en hebben een geldige ontwikkelaars-ID toegeschreven aan Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Fonedog.com hostte met name een Android-hersteltool samen met andere aanbiedingen, en de aanvullende applicatiebundel bevat een ontwikkelaars-ID van FoneDog Technology Limited (CUAU2GTG98).
Mac-apparaten zijn een frequent doelwit geworden van malware-aanvallen
Cybercriminelen hebben malwaretools ingezet die gericht zijn op Mac-apparaten, met als prominent voorbeeld de AdLoad -malwarefamilie. Onlangs hebben onderzoekers op het gebied van informatiebeveiliging alarm geslagen over een nieuwe variant van deze beruchte malware genaamd Rload (ook bekend als Lador), geschreven in de programmeertaal Go. Rload is ontworpen om de XProtect-malwaresignatuurlijst van Apple te omzeilen en is speciaal samengesteld voor Intel x86_64-architectuur.
Deze binaire bestanden fungeren als initiële droppers voor daaropvolgende payload-fasen. Momenteel zijn de exacte distributiemethoden nog steeds onduidelijk. Deze droppers worden echter doorgaans aangetroffen in gekraakte of door trojans beheerde applicaties die via kwaadaardige websites worden verspreid.
AdLoad, een adwarecampagne die macOS in ieder geval sinds 2017 treft, is berucht vanwege het kapen van zoekresultaten van zoekmachines en het injecteren van advertenties in webpagina's. Dit wordt bereikt door middel van een man-in-the-middle-webproxy-installatie, die het webverkeer van gebruikers via de infrastructuur van de aanvaller omleidt voor financieel gewin.
