Qyqe vjedhës

Studiuesit e sigurisë kibernetike kanë zbuluar një kërcënim të ri që synon sistemet macOS të Apple, i krijuar për të krijuar akses të vazhdueshëm në hostet e komprometuar dhe për të funksionuar si spyware. I quajtur Cuckoo, ky malware është një binar universal Mach-O i aftë për të ekzekutuar si në Intel ashtu edhe në Mac të bazuar në Arm.

Mënyra specifike e shpërndarjes mbetet e paqartë. Megjithatë, ka shenja se binar është i vendosur në uebsajte të shumta (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com dhe tunefab.com) që pretendojnë të ofrojnë aplikacione falas dhe me pagesë për shkëputjen e muzikës nga shërbimet e transmetimit dhe konvertimin atë në formatin MP3.

Vjedhësi i qyqeve vendos këmbëngulje në Macin e infektuar

Skedari i imazhit të diskut të marrë nga këto faqe interneti fillon një guaskë bash për të mbledhur detajet e hostit. Siguron që makina e komprometuar të mos gjendet në Armeni, Bjellorusi, Kazakistan, Rusi ose Ukrainë. Binar mashtrues ekzekutohet vetëm nëse kontrolli i vendndodhjes ka sukses.

Për më tepër, ai vendos këmbënguljen duke përdorur një LaunchAgent, një metodë e përdorur më parë nga familje të ndryshme malware si RustBucket , XLoader , JaskaGO dhe një prapavijë macOS që ndan ngjashmëri me ZuRu .

Ngjashëm me malware MacStealer macOS, Cuckoo përdor osascript për të paraqitur një kërkesë të rreme të fjalëkalimit, duke i mashtruar përdoruesit që të fusin fjalëkalimet e sistemit të tyre për përshkallëzimin e privilegjeve. Ky malware gjithashtu skanon për skedarë specifikë të lidhur me aplikacione të veçanta në një përpjekje për të mbledhur informacione të gjera të sistemit.

Vjedhësi i qyqeve komprometon informacione të ndjeshme nga pajisjet e prishura

Malware Cuckoo është projektuar për të ekzekutuar një sekuencë komandash që synojnë nxjerrjen e detajeve të harduerit, kapjen e proceseve aktive, kërkimin e aplikacioneve të instaluara, marrjen e pamjeve nga ekrani dhe mbledhjen e të dhënave nga burime të ndryshme, duke përfshirë iCloud Keychain, Apple Notes, shfletues ueb, kuletat kripto dhe specifike. aplikacione si Discord, FileZilla, Steam dhe Telegram.

Çdo aplikacion kërcënues përfshin një paketë aplikacionesh të integruara brenda drejtorisë së tij të burimeve. Shumica e këtyre paketave, me përjashtim të atyre nga fonedog.com, janë të nënshkruara dhe mbajnë një ID të vlefshme Zhvilluesi që i atribuohet Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Veçanërisht, fonedog.com priti një mjet rikuperimi Android së bashku me ofertat e tjera, dhe paketa e tij shtesë e aplikacioneve përmban një ID zhvilluesi nga FoneDog Technology Limited (CUAU2GTG98).

Pajisjet Mac janë bërë një objektiv i shpeshtë i sulmeve malware

Kriminelët kibernetikë kanë vendosur mjete malware që synojnë pajisjet Mac, me një shembull të spikatur që është familja e malware AdLoad . Së fundmi, studiuesit e sigurisë së informacionit kanë ngritur alarmin për një variant të ri të këtij malware famëkeq të quajtur Rload (i njohur gjithashtu si Lador), i shkruar në gjuhën e programimit Go. Rload është projektuar për të anashkaluar listën e nënshkrimeve të malware XProtect të Apple dhe është përpiluar posaçërisht për arkitekturën Intel x86_64.

Këto binare veprojnë si pikatore fillestare për fazat pasuese të ngarkesës. Aktualisht, metodat e sakta të shpërndarjes mbeten të paqarta. Megjithatë, këto pikatore zakonisht gjenden të ngulitura në aplikacione të plasaritura ose të trojanizuara të shpërndara përmes faqeve të internetit me qëllim të keq.

AdLoad, një fushatë adware që prek macOS që të paktën nga viti 2017, është e njohur për rrëmbimin e rezultateve të motorëve të kërkimit dhe injektimin e reklamave në faqet e internetit. Kjo realizohet përmes një konfigurimi të proxy-it të uebit njeri në mes, duke ridrejtuar trafikun në ueb të përdoruesit përmes infrastrukturës së sulmuesit për përfitime financiare.