Cuckoo Stealer
Raziskovalci kibernetske varnosti so odkrili novo grožnjo, ki cilja na sisteme Apple macOS in je zasnovana za vzpostavitev trajnega dostopa do ogroženih gostiteljev in deluje kot vohunska programska oprema. Ta zlonamerna programska oprema, imenovana Cuckoo, je univerzalna binarna datoteka Mach-O, ki se lahko izvaja tako v računalnikih Mac, ki temeljijo na Intelu kot Armu.
Posebna metoda distribucije ostaja negotova. Vendar pa obstajajo znaki, da binarno datoteko gostuje na več spletnih mestih (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com in tunefab.com), ki domnevno ponujajo brezplačne in plačljive aplikacije za kopiranje glasbe iz pretočnih storitev in pretvorbo v format MP3.
Kazalo
Cuckoo Stealer vzpostavi obstojnost na okuženem Macu
Datoteka s sliko diska, pridobljena s teh spletnih mest, sproži lupino bash za zbiranje podrobnosti o gostitelju. Zagotavlja, da se ogrožena naprava ne nahaja v Armeniji, Belorusiji, Kazahstanu, Rusiji ali Ukrajini. Goljufiva dvojiška datoteka se zažene le, če je preverjanje področne nastavitve uspešno.
Poleg tega vzpostavi obstojnost z uporabo LaunchAgenta, metode, ki so jo prej uporabljale različne družine zlonamerne programske opreme, kot so RustBucket , XLoader , JaskaGO in stranska vrata macOS, ki si deli podobnosti z ZuRu .
Podobno kot zlonamerna programska oprema MacStealer za macOS tudi Cuckoo uporablja osascript za prikaz lažnega poziva za geslo, s čimer zavede uporabnike, da vnesejo svoja sistemska gesla za stopnjevanje privilegijev. Ta zlonamerna programska oprema išče tudi določene datoteke, povezane z določenimi aplikacijami, da bi zbrala obsežne informacije o sistemu.
Cuckoo Stealer ogrozi občutljive informacije iz vdorov v naprave
Zlonamerna programska oprema Cuckoo je zasnovana tako, da izvaja zaporedje ukazov, namenjenih ekstrahiranju podrobnosti strojne opreme, zajemanju aktivnih procesov, poizvedovanju po nameščenih aplikacijah, snemanju posnetkov zaslona in zbiranju podatkov iz različnih virov, vključno z iCloud Keychain, Apple Notes, spletnimi brskalniki, kripto denarnicami in specifičnimi aplikacije, kot so Discord, FileZilla, Steam in Telegram.
Vsaka grozeča aplikacija vključuje vdelani paket aplikacij v svojem imeniku virov. Večina teh svežnjev, z izjemo tistih s fonedog.com, je podpisana in nosi veljaven ID razvijalca, ki je pripisan Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Zlasti fonedog.com je skupaj z drugimi ponudbami gostil orodje za obnovitev Androida, njegov dodatni paket aplikacij pa vsebuje ID razvijalca podjetja FoneDog Technology Limited (CUAU2GTG98).
Naprave Mac so postale pogosta tarča napadov zlonamerne programske opreme
Kibernetski kriminalci uporabljajo orodja za zlonamerno programsko opremo, namenjena napravam Mac, pri čemer je eden vidnih primerov družina zlonamerne programske opreme AdLoad . Pred kratkim so raziskovalci informacijske varnosti sprožili alarme glede nove različice te razvpite zlonamerne programske opreme, imenovane Rload (znane tudi kot Lador), napisane v programskem jeziku Go. Rload je zasnovan tako, da zaobide Applov seznam podpisov zlonamerne programske opreme XProtect in je sestavljen posebej za arhitekturo Intel x86_64.
Te binarne datoteke delujejo kot začetne kapalke za naslednje stopnje koristnega tovora. Trenutno ostajajo natančne metode distribucije nejasne. Vendar pa so ti dropperji običajno vdelani v zlomljene ali trojanske aplikacije, ki se distribuirajo prek zlonamernih spletnih mest.
AdLoad, oglaševalska kampanja, ki vpliva na macOS vsaj od leta 2017, je znana po ugrabitvi rezultatov iskalnikov in vbrizgavanju oglasov na spletne strani. To se doseže z nastavitvijo spletnega proxyja "človek v sredini", ki preusmeri uporabniški spletni promet prek napadalčeve infrastrukture za finančni dobiček.
