Cuckoo Stealer
Os pesquisadores de segurança cibernética descobriram uma nova ameaça direcionada aos sistemas Apple macOS, projetada para estabelecer acesso persistente em hosts comprometidos e operar como spyware. Chamado de Cuckoo, esse malware é um binário Mach-O universal capaz de ser executado em Macs baseados em Intel e Arm.
O método específico de distribuição permanece incerto. No entanto, há sinais de que o binário está hospedado em vários sites (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com e tunefab.com) que pretendem fornecer aplicativos gratuitos e pagos para extrair música de serviços de streaming e converter para o formato MP3.
Índice
O Cuckoo Stealer Estabelece Persistência no Mac Infectado
O arquivo de imagem de disco obtido nesses sites inicia um shell bash para coletar detalhes do host. Garante que a máquina comprometida não esteja localizada na Arménia, Bielorrússia, Cazaquistão, Rússia ou Ucrânia. O binário fraudulento será executado somente se a verificação de localidade for bem-sucedida.
Além disso, ele estabelece persistência usando um LaunchAgent, um método anteriormente utilizado por várias famílias de malware, como RustBucket, XLoader, JaskaGO e um backdoor do macOS que compartilha semelhanças com o ZuRu.
Semelhante ao malware MacStealer macOS, o Cuckoo emprega osascript para apresentar uma solicitação de senha falsa, enganando os usuários para que insiram as senhas do sistema para aumento de privilégios. Esse malware também verifica arquivos específicos vinculados a aplicativos específicos, em um esforço para coletar informações extensas do sistema.
O Cuckoo Stealer Compromete Informações Confidenciais nos Dispositivos vVolados
O Cuckoo Malware foi projetado para executar uma sequência de comandos destinados a extrair detalhes de hardware, capturar processos ativos, consultar aplicativos instalados, fazer capturas de tela e coletar dados de várias fontes, incluindo iCloud Keychain, Apple Notes, navegadores da Web, carteiras criptografadas e específicos. aplicativos como Discord, FileZilla, Steam e Telegram.
Cada aplicativo ameaçador inclui um pacote de aplicativos incorporado em seu diretório de recursos. A maioria desses pacotes, com exceção daqueles do fonedog.com, são assinados e possuem um ID de desenvolvedor válido atribuído à Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Notavelmente, fonedog.com hospedou uma ferramenta de recuperação Android junto com outras ofertas, e seu pacote de aplicativos adicional apresenta um ID de desenvolvedor da FoneDog Technology Limited (CUAU2GTG98).
Os Dispositivos Mac Se Tornaram um Alvo Frequente dos Ataques de Malware
Os cibercriminosos têm implantado ferramentas de malware destinadas a dispositivos Mac, sendo um exemplo proeminente a família de malware AdLoad. Recentemente, pesquisadores de segurança da informação levantaram alarmes sobre uma nova variante desse notório malware chamado Rload (também conhecido como Lador), escrito na linguagem de programação Go. O Rload foi projetado para ignorar a lista de assinaturas de malware XProtect da Apple e é compilado especificamente para a arquitetura Intel x86_64.
Esses binários atuam como droppers iniciais para estágios de carga úteis subsequentes. Atualmente, os métodos exatos de distribuição permanecem obscuros. No entanto, esses droppers são normalmente encontrados incorporados em aplicativos crackeados ou trojanizados, distribuídos por sites maliciosos.
AdLoad, uma campanha de adware que afeta o macOS desde pelo menos 2017, é conhecida por sequestrar resultados de mecanismos de pesquisa e injetar anúncios em páginas da web. Isso é feito por meio de uma configuração de proxy da web man-in-the-middle, redirecionando o tráfego da web do usuário através da infraestrutura do invasor para obter ganhos financeiros.
