Кукушка-похититель
Исследователи кибербезопасности обнаружили новую угрозу, нацеленную на системы Apple macOS, предназначенную для установления постоянного доступа к скомпрометированным хостам и действующую как шпионское ПО. Эта вредоносная программа под названием Cuckoo представляет собой универсальный двоичный файл Mach-O, способный работать как на компьютерах Mac на базе Intel, так и на базе Arm.
Конкретный метод распространения остается неопределенным. Однако есть признаки того, что двоичный файл размещен на нескольких веб-сайтах (dumpmedia.com, Tunesolo.com, fonedog.com, Tunesfun.com и Tunesfab.com), предназначенных для предоставления бесплатных и платных приложений для копирования музыки из потоковых сервисов и конвертации. его в формат MP3.
Оглавление
Cuckoo Stealer обеспечивает постоянство зараженного Mac
Файл образа диска, полученный с этих веб-сайтов, запускает оболочку bash для сбора сведений о хосте. Это гарантирует, что скомпрометированная машина не находится в Армении, Беларуси, Казахстане, России или Украине. Мошеннический двоичный файл запускается только в том случае, если проверка локали прошла успешно.
Кроме того, он обеспечивает постоянство с помощью LaunchAgent — метода, ранее использовавшегося различными семействами вредоносных программ, таких как RustBucket , XLoader , JaskaGO , а также бэкдором macOS, имеющим сходство с ZuRu .
Подобно вредоносному ПО MacStealer для macOS, Cuckoo использует osascript для представления поддельного пароля, обманывая пользователей, заставляя их вводить системные пароли для повышения привилегий. Это вредоносное ПО также сканирует определенные файлы, связанные с определенными приложениями, в попытке собрать обширную системную информацию.
Cuckoo Stealer компрометирует конфиденциальную информацию со взломанных устройств
Вредоносное ПО Cuckoo предназначено для выполнения последовательности команд, направленных на извлечение сведений об оборудовании, захват активных процессов, запрос установленных приложений, создание снимков экрана и сбор данных из различных источников, включая iCloud Keychain, Apple Notes, веб-браузеры, криптокошельки и определенные такие приложения, как Discord, FileZilla, Steam и Telegram.
Каждое угрожающее приложение включает в себя встроенный пакет приложений в своем каталоге ресурсов. Большинство этих пакетов, за исключением пакетов с fonedog.com, подписаны и имеют действительный идентификатор разработчика, присвоенный Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Примечательно, что на fonedog.com наряду с другими предложениями размещен инструмент восстановления Android, а его дополнительный пакет приложений имеет идентификатор разработчика от FoneDog Technology Limited (CUAU2GTG98).
Устройства Mac стали частой целью атак вредоносных программ
Киберпреступники внедряют вредоносные инструменты, нацеленные на устройства Mac, одним из ярких примеров является семейство вредоносных программ AdLoad . Недавно исследователи информационной безопасности подняли тревогу по поводу нового варианта печально известного вредоносного ПО под названием Rload (также известного как Lador), написанного на языке программирования Go. Rload предназначен для обхода списка сигнатур вредоносных программ Apple XProtect и скомпилирован специально для архитектуры Intel x86_64.
Эти двоичные файлы действуют как начальные дропы для последующих этапов полезной нагрузки. В настоящее время точные методы распространения остаются неясными. Однако эти дропперы обычно встроены во взломанные или зараженные троянами приложения, распространяемые через вредоносные веб-сайты.
AdLoad, рекламная кампания, затрагивающая macOS как минимум с 2017 года, печально известна тем, что перехватывает результаты поисковых систем и внедряет рекламу на веб-страницы. Это достигается за счет настройки веб-прокси «человек посередине», перенаправляющего веб-трафик пользователя через инфраструктуру злоумышленника с целью получения финансовой выгоды.
