Złodziej Kukułki
Badacze zajmujący się cyberbezpieczeństwem odkryli nowe zagrożenie atakujące systemy Apple macOS, którego celem jest zapewnienie trwałego dostępu do zainfekowanych hostów i działanie jako oprogramowanie szpiegujące. Szkodnik ten, nazwany Cuckoo, jest uniwersalnym plikiem binarnym Mach-O, który może działać zarówno na komputerach Mac z procesorami Intel, jak i ARM.
Konkretny sposób dystrybucji pozostaje niepewny. Istnieją jednak oznaki, że plik binarny jest hostowany w wielu witrynach internetowych (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com i tunefab.com), które mają zapewniać bezpłatne i płatne aplikacje do zgrywania muzyki z usług przesyłania strumieniowego i konwertowania go do formatu MP3.
Spis treści
Złodziej kukułek ustanawia trwałość na zainfekowanym komputerze Mac
Plik obrazu dysku uzyskany z tych witryn inicjuje powłokę bash w celu zebrania szczegółów hosta. Zapewnia, że zaatakowana maszyna nie znajduje się w Armenii, Białorusi, Kazachstanie, Rosji lub Ukrainie. Fałszywy plik binarny działa tylko wtedy, gdy sprawdzenie ustawień regionalnych zakończy się pomyślnie.
Ponadto ustanawia trwałość za pomocą LaunchAgent, metody stosowanej wcześniej przez różne rodziny złośliwego oprogramowania, takie jak RustBucket , XLoader , JaskaGO i backdoor dla systemu macOS, który jest podobny do ZuRu .
Podobnie jak złośliwe oprogramowanie MacStealer dla systemu macOS, Cuckoo wykorzystuje osascript do wyświetlania fałszywego monitu o podanie hasła, oszukując użytkowników do wprowadzenia haseł systemowych w celu eskalacji uprawnień. Szkodnik ten skanuje również w poszukiwaniu określonych plików powiązanych z określonymi aplikacjami, próbując zebrać obszerne informacje o systemie.
Złodziej Cuckoo kradnie poufne informacje z zaatakowanych urządzeń
Cuckoo Malware jest przeznaczony do wykonywania sekwencji poleceń mających na celu wyodrębnienie szczegółów sprzętu, przechwycenie aktywnych procesów, odpytywanie zainstalowanych aplikacji, robienie zrzutów ekranu i zbieranie danych z różnych źródeł, w tym pęku kluczy iCloud, Apple Notes, przeglądarek internetowych, portfeli kryptograficznych i określonych aplikacje takie jak Discord, FileZilla, Steam i Telegram.
Każda zagrażająca aplikacja zawiera osadzony pakiet aplikacji w swoim katalogu zasobów. Większość tych pakietów, z wyjątkiem tych z fonedog.com, jest podpisana i zawiera ważny identyfikator programisty przypisany Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Warto zauważyć, że na fonedog.com znajdowało się narzędzie do odzyskiwania systemu Android wraz z innymi ofertami, a dodatkowy pakiet aplikacji zawiera identyfikator programisty firmy FoneDog Technology Limited (CUAU2GTG98).
Urządzenia Mac stały się częstym celem ataków złośliwego oprogramowania
Cyberprzestępcy wdrażają narzędzia szkodliwego oprogramowania skierowane na urządzenia Mac, a jednym z najważniejszych przykładów jest rodzina złośliwego oprogramowania AdLoad . Ostatnio badacze bezpieczeństwa informacji wzbudzili alarm w związku z nowym wariantem tego cieszącego się złą sławą szkodliwego oprogramowania o nazwie Rload (znanego również jako Lador), napisanego w języku programowania Go. Rload ma na celu ominięcie listy sygnatur złośliwego oprogramowania XProtect firmy Apple i został skompilowany specjalnie dla architektury Intel x86_64.
Te pliki binarne działają jako początkowe droppery dla kolejnych etapów ładunku. Obecnie dokładne metody dystrybucji pozostają niejasne. Jednakże tego typu droppery są zwykle osadzone w złamanych lub zainfekowanych trojanami aplikacjach dystrybuowanych za pośrednictwem złośliwych witryn internetowych.
AdLoad, kampania adware wpływająca na macOS co najmniej od 2017 roku, jest znana z przejmowania wyników wyszukiwania i umieszczania reklam na stronach internetowych. Osiąga się to poprzez konfigurację serwera proxy sieci Web typu man-in-the-middle, przekierowując ruch sieciowy użytkownika przez infrastrukturę atakującego w celu uzyskania korzyści finansowych.
