Cuckoo Stealer
Cybersäkerhetsforskare har avslöjat ett nytt hot som riktar sig till Apples macOS-system, designat för att skapa beständig åtkomst på komprometterade värdar och fungera som spionprogram. Denna skadliga programvara, som heter Cuckoo, är en universell Mach-O-binär som kan köras på både Intel och Arm-baserade Mac-datorer.
Den specifika distributionsmetoden är fortfarande osäker. Det finns dock tecken på att binären finns på flera webbplatser (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com och tunefab.com) som utger sig för att tillhandahålla gratis och betalda applikationer för att rippa musik från streamingtjänster och konvertera den till MP3-format.
Innehållsförteckning
Cuckoo Stealer etablerar uthållighet på den infekterade Mac-datorn
Skivbildsfilen som erhålls från dessa webbplatser initierar ett bash-skal för att samla in värddetaljer. Det säkerställer att den komprometterade maskinen inte finns i Armenien, Vitryssland, Kazakstan, Ryssland eller Ukraina. Den bedrägliga binära filen körs endast om språkkontrollen lyckas.
Dessutom etablerar det uthållighet med hjälp av en LaunchAgent, en metod som tidigare använts av olika skadliga programfamiljer som RustBucket , XLoader , JaskaGO och en macOS-bakdörr som delar likheter med ZuRu .
På samma sätt som MacStealer macOS skadlig kod använder Cuckoo osascript för att presentera en falsk lösenordsuppmaning, vilket lurar användare att ange sina systemlösenord för att eskalera privilegier. Denna skadliga programvara söker också efter specifika filer kopplade till särskilda applikationer i ett försök att samla in omfattande systeminformation.
Cuckoo Stealer kompromissar med känslig information från intrångade enheter
Cuckoo Malware är utformad för att utföra en sekvens av kommandon som syftar till att extrahera hårdvarudetaljer, fånga aktiva processer, söka efter installerade applikationer, ta skärmdumpar och samla in data från olika källor, inklusive iCloud Keychain, Apple Notes, webbläsare, kryptoplånböcker och specifika applikationer som Discord, FileZilla, Steam och Telegram.
Varje hotande program inkluderar ett inbäddat programpaket i sin resurskatalog. De flesta av dessa paket, med undantag för de från fonedog.com, är signerade och har ett giltigt utvecklar-ID som tillskrivs Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Fonedog.com var värd för ett Android-återställningsverktyg tillsammans med andra erbjudanden, och dess ytterligare applikationspaket har ett utvecklar-ID från FoneDog Technology Limited (CUAU2GTG98).
Mac-enheter har blivit ett frekvent mål för attacker med skadlig programvara
Cyberbrottslingar har distribuerat skadliga verktyg riktade mot Mac-enheter, med ett framträdande exempel är AdLoad malware-familjen. Nyligen har informationssäkerhetsforskare larmat om en ny variant av denna ökända skadliga programvara som kallas Rload (även känd som Lador), skriven på programmeringsspråket Go. Rload är designad för att kringgå Apples XProtect skadlig kod signaturlista och är kompilerad specifikt för Intel x86_64-arkitekturen.
Dessa binärer fungerar som initiala droppare för efterföljande nyttolaststeg. För närvarande är de exakta distributionsmetoderna oklara. Dessa droppare finns dock vanligtvis inbäddade i spruckna eller trojaniserade applikationer som distribueras via skadliga webbplatser.
AdLoad, en annonsprogramskampanj som har påverkat macOS sedan åtminstone 2017, är ökända för att kapa sökmotorresultat och injicera annonser på webbsidor. Detta åstadkoms genom en man-in-the-middle-webproxy-inställning, som omdirigerar användarens webbtrafik genom angriparens infrastruktur för ekonomisk vinning.
