Цуцкоо Стеалер
Истраживачи сајбер безбедности открили су нову претњу усмерену на Аппле мацОС системе, дизајниране да успоставе упоран приступ на компромитованим хостовима и раде као шпијунски софтвер. Под називом Цуцкоо, овај малвер је универзални Мацх-О бинарни програм који може да ради и на Интел-овим и на Мац рачунарима заснованим на Арм-у.
Конкретан начин дистрибуције остаје неизвестан. Међутим, постоје знаци да се бинарни фајл хостује на више веб локација (думпмедиа.цом, тунесоло.цом, фонедог.цом, тунесфун.цом и тунефаб.цом) који наводно пружају бесплатне и плаћене апликације за копирање музике са сервиса за стриминг и претварање то у МП3 формат.
Преглед садржаја
Тхе Цуцкоо Стеалер успоставља постојаност на зараженом Мац-у
Датотека слике диска добијена са ових веб локација покреће басх схелл за прикупљање детаља о хосту. Осигурава да се компромитована машина не налази у Јерменији, Белорусији, Казахстану, Русији или Украјини. Лажни бинарни фајл се покреће само ако је провера локализације успешна.
Штавише, успоставља постојаност користећи ЛаунцхАгент, метод који су раније користиле различите породице малвера као што су РустБуцкет , КСЛоадер , ЈаскаГО и мацОС бацкдоор који дели сличности са ЗуРу .
Слично МацСтеалер мацОС малверу, Цуцкоо користи осасцрипт за представљање лажног упита за лозинку, обмањујући кориснике да унесу своје системске лозинке ради ескалације привилегија. Овај малвер такође скенира одређене датотеке повезане са одређеним апликацијама у покушају да прикупи опсежне информације о систему.
Тхе Цуцкоо Стеалер компромитује осетљиве информације са оштећених уређаја
Цуцкоо Малвер је дизајниран да изврши низ команди које имају за циљ издвајање детаља о хардверу, снимање активних процеса, испитивање инсталираних апликација, прављење снимака екрана и прикупљање података из различитих извора, укључујући иЦлоуд Кеицхаин, Аппле Нотес, веб претраживаче, крипто новчанике и специфичне апликације као што су Дисцорд, ФилеЗилла, Стеам и Телеграм.
Свака претећа апликација укључује уграђени пакет апликација унутар свог директоријума ресурса. Већина ових пакета, са изузетком оних са фонедог.цом, су потписани и носе важећи ИД програмера који се приписује Ииан Тецхнологи Схензхен Цо., Лтд (ВРБЈ4ВРП). Посебно, фонедог.цом је угостио Андроид алатку за опоравак заједно са другим понудама, а његов додатни пакет апликација садржи ИД програмера компаније ФонеДог Тецхнологи Лимитед (ЦУАУ2ГТГ98).
Мац уређаји су постали честа мета напада злонамерног софтвера
Сајбер криминалци постављају алате за малвер намењен Мац уређајима, а један истакнути пример је породица малвера АдЛоад . Недавно су истраживачи безбедности информација подигли аларм због нове варијанте овог озлоглашеног малвера под називом Рлоад (познатог и као Ладор), написане у програмском језику Го. Рлоад је дизајниран да заобиђе Аппле-ову КСПротецт листу потписа малвера и састављен је посебно за Интел к86_64 архитектуру.
Ови бинарни фајлови делују као почетни капаљци за следеће фазе корисног оптерећења. Тренутно, тачне методе дистрибуције остају нејасне. Међутим, ови дроппери се обично налазе уграђени у крековане или тројанизоване апликације које се дистрибуирају преко злонамерних веб локација.
АдЛоад, рекламна кампања која утиче на мацОС од најмање 2017. године, позната је по отмици резултата претраживача и убацивању реклама на веб странице. Ово се постиже подешавањем веб проксија „човек у средини“, који преусмерава веб саобраћај корисника кроз инфраструктуру нападача ради финансијске добити.
