Furătorul de cuci
Cercetătorii în domeniul securității cibernetice au descoperit o nouă amenințare care vizează sistemele Apple macOS, concepută să stabilească acces persistent pe gazde compromise și să funcționeze ca programe spion. Numit Cuckoo, acest malware este un binar universal Mach-O capabil să ruleze atât pe Mac-uri Intel, cât și pe Mac-uri bazate pe Arm.
Metoda specifică de distribuție rămâne incertă. Cu toate acestea, există semne că binarul este găzduit pe mai multe site-uri web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com și tunefab.com) care pretind că oferă aplicații gratuite și plătite pentru extragerea muzicii din serviciile de streaming și conversia. este în format MP3.
Cuprins
Furătorul de cuci stabilește persistența pe Mac-ul infectat
Fișierul imagine de disc obținut de pe aceste site-uri web inițiază un shell bash pentru a colecta detalii despre gazdă. Acesta asigură că mașina compromisă nu este localizată în Armenia, Belarus, Kazahstan, Rusia sau Ucraina. Binarul fraudulos rulează numai dacă verificarea localizării reușește.
Mai mult, stabilește persistența folosind un LaunchAgent, o metodă utilizată anterior de diferite familii de malware, cum ar fi RustBucket , XLoader , JaskaGO și o ușă din spate macOS care împărtășește asemănări cu ZuRu .
Similar cu programul malware MacStealer macOS, Cuckoo folosește osascript pentru a prezenta o solicitare de parolă falsă, înșelând utilizatorii să-și introducă parolele de sistem pentru escaladarea privilegiilor. Acest malware scanează, de asemenea, anumite fișiere legate de anumite aplicații, într-un efort de a aduna informații extinse de sistem.
Furatorul cucului compromite informațiile sensibile de la dispozitivele sparte
Cuckoo Malware este conceput pentru a executa o secvență de comenzi care vizează extragerea detaliilor hardware, capturarea proceselor active, interogarea aplicațiilor instalate, realizarea de capturi de ecran și colectarea datelor din diverse surse, inclusiv iCloud Keychain, Apple Notes, browsere web, portofele criptografice și anumite aplicații precum Discord, FileZilla, Steam și Telegram.
Fiecare aplicație amenințătoare include un pachet de aplicații încorporat în directorul său de resurse. Majoritatea acestor pachete, cu excepția celor de la fonedog.com, sunt semnate și poartă un ID de dezvoltator valid atribuit Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). În special, fonedog.com a găzduit un instrument de recuperare Android împreună cu alte oferte, iar pachetul său suplimentar de aplicații include un ID de dezvoltator de la FoneDog Technology Limited (CUAU2GTG98).
Dispozitivele Mac au devenit o țintă frecventă a atacurilor malware
Infractorii cibernetici au implementat instrumente malware destinate dispozitivelor Mac, un exemplu proeminent fiind familia de malware AdLoad . Recent, cercetătorii în securitatea informațiilor au tras alarme cu privire la o nouă variantă a acestui malware notoriu numită Rload (cunoscut și sub numele de Lador), scrisă în limbajul de programare Go. Rload este conceput pentru a ocoli lista de semnături de malware XProtect de la Apple și este compilat special pentru arhitectura Intel x86_64.
Aceste binare acționează ca droppers inițiali pentru etapele ulterioare ale sarcinii utile. În prezent, metodele exacte de distribuție rămân neclare. Cu toate acestea, aceste droppers se găsesc de obicei încorporate în aplicații crăpate sau troiene distribuite prin site-uri web rău intenționate.
AdLoad, o campanie de adware care afectează macOS din cel puțin 2017, este renumită pentru deturnarea rezultatelor motoarelor de căutare și injectarea de reclame în paginile web. Acest lucru se realizează printr-o configurare proxy web man-in-the-middle, redirecționând traficul web al utilizatorului prin infrastructura atacatorului pentru câștiguri financiare.
