Zlodej kukučky
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú hrozbu zameranú na systémy Apple macOS, ktorá je navrhnutá tak, aby zabezpečila trvalý prístup na napadnutých hostiteľoch a fungovala ako spyware. Tento malvér s názvom Kukučka je univerzálny binárny súbor Mach-O schopný bežať na počítačoch Mac s procesormi Intel aj Arm.
Konkrétny spôsob distribúcie zostáva neistý. Existujú však náznaky, že binárny súbor je hosťovaný na viacerých webových stránkach (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com a tunefab.com), ktorých cieľom je poskytovať bezplatné a platené aplikácie na kopírovanie hudby zo streamovacích služieb a konverziu. do formátu MP3.
Obsah
The Cuckoo Stealer zaisťuje vytrvalosť na infikovanom Macu
Súbor obrazu disku získaný z týchto webových stránok spustí bash shell na zhromaždenie podrobností o hostiteľovi. Zabezpečuje, aby sa napadnutý stroj nenachádzal v Arménsku, Bielorusku, Kazachstane, Rusku alebo na Ukrajine. Podvodný binárny súbor sa spustí iba vtedy, ak je kontrola miestneho nastavenia úspešná.
Okrem toho vytvára perzistenciu pomocou LaunchAgenta, čo je metóda, ktorú predtým používali rôzne rodiny malvéru, ako sú RustBucket , XLoader , JaskaGO a zadné vrátka macOS, ktoré zdieľajú podobnosti so ZuRu .
Podobne ako malvér MacStealer MacOS, Cuckoo využíva osascript na zobrazenie falošnej výzvy na zadanie hesla, čím klame používateľov, aby zadali svoje systémové heslá na eskaláciu privilégií. Tento malvér tiež vyhľadáva špecifické súbory prepojené s konkrétnymi aplikáciami v snahe získať rozsiahle systémové informácie.
Cuckoo Stealer kompromituje citlivé informácie z poškodených zariadení
Cuckoo Malware je navrhnutý tak, aby vykonával sekvenciu príkazov zameraných na extrakciu hardvérových detailov, zachytenie aktívnych procesov, dotazovanie sa nainštalovaných aplikácií, vytváranie snímok obrazovky a zber údajov z rôznych zdrojov, vrátane iCloud Keychain, Apple Notes, webových prehliadačov, krypto peňaženiek a špecifických aplikácie ako Discord, FileZilla, Steam a Telegram.
Každá ohrozujúca aplikácia obsahuje vložený balík aplikácií vo svojom adresári zdrojov. Väčšina týchto balíkov, s výnimkou balíkov z fonedog.com, je podpísaná a má platné ID vývojára priradené spoločnosti Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Najmä fonedog.com hostil nástroj na obnovenie systému Android spolu s ďalšími ponukami a jeho ďalší balík aplikácií obsahuje ID vývojára od FoneDog Technology Limited (CUAU2GTG98).
Zariadenia Mac sa stali častým cieľom útokov škodlivého softvéru
Kyberzločinci nasadzujú malvérové nástroje zamerané na zariadenia Mac, pričom jedným z prominentných príkladov je rodina škodlivého softvéru AdLoad . Nedávno výskumníci v oblasti informačnej bezpečnosti vyvolali poplach v súvislosti s novým variantom tohto notoricky známeho malvéru s názvom Rload (známy aj ako Lador), napísaný v programovacom jazyku Go. Rload je navrhnutý tak, aby obišiel zoznam podpisov malvéru XProtect spoločnosti Apple a je zostavený špeciálne pre architektúru Intel x86_64.
Tieto binárne súbory fungujú ako počiatočné kvapky pre nasledujúce fázy užitočného zaťaženia. V súčasnosti sú presné spôsoby distribúcie nejasné. Tieto kvapkadlá sa však zvyčajne nachádzajú zabudované v popraskaných alebo trojanizovaných aplikáciách distribuovaných prostredníctvom škodlivých webových stránok.
AdLoad, adware kampaň ovplyvňujúca macOS minimálne od roku 2017, je známa tým, že unáša výsledky vyhľadávacích nástrojov a vkladá reklamy na webové stránky. Dosahuje sa to prostredníctvom nastavenia webového servera proxy typu man-in-the-middle, ktoré presmerováva webovú prevádzku používateľov cez infraštruktúru útočníka s cieľom získať finančný zisk.
