คนขโมยนกกาเหว่า
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบภัยคุกคามใหม่ที่มีเป้าหมายไปที่ระบบ Apple macOS ซึ่งได้รับการออกแบบมาเพื่อสร้างการเข้าถึงอย่างต่อเนื่องบนโฮสต์ที่ถูกบุกรุกและทำงานเป็นสปายแวร์ มัลแวร์ชื่อ Cuckoo เป็นไบนารี Mach-O สากลที่สามารถทำงานบน Mac ที่ใช้ Intel และ Arm
วิธีการจำหน่ายเฉพาะเจาะจงยังคงไม่แน่นอน อย่างไรก็ตาม มีสัญญาณว่าไบนารีนั้นโฮสต์อยู่ในหลายเว็บไซต์ (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com และ tunefab.com) โดยอ้างว่าให้บริการแอปพลิเคชันฟรีและชำระเงินสำหรับการริปเพลงจากบริการสตรีมมิ่งและการแปลง เป็นรูปแบบ MP3
สารบัญ
Cuckoo Stealer สร้างความคงอยู่บน Mac ที่ติดไวรัส
ไฟล์อิมเมจของดิสก์ที่ได้รับจากเว็บไซต์เหล่านี้จะเริ่มต้น bash shell เพื่อรวบรวมรายละเอียดโฮสต์ ช่วยให้แน่ใจว่าเครื่องจักรที่ถูกบุกรุกไม่ได้อยู่ในอาร์เมเนีย เบลารุส คาซัคสถาน รัสเซีย หรือยูเครน ไบนารีที่ฉ้อโกงจะทำงานก็ต่อเมื่อการตรวจสอบสถานที่สำเร็จเท่านั้น
นอกจากนี้ ยังสร้างความคงอยู่โดยใช้ LaunchAgent ซึ่งเป็นวิธีการที่เคยใช้โดยกลุ่มมัลแวร์ต่างๆ เช่น RustBucket , XLoader , JaskaGO และแบ็คดอร์ macOS ที่มีความคล้ายคลึงกับ ZuRu
เช่นเดียวกับมัลแวร์ MacStealer macOS Cuckoo ใช้ osascript เพื่อแสดงรหัสผ่านปลอม โดยหลอกลวงผู้ใช้ให้ป้อนรหัสผ่านระบบเพื่อเพิ่มสิทธิ์ มัลแวร์นี้ยังสแกนหาไฟล์เฉพาะที่เชื่อมโยงกับแอปพลิเคชันเฉพาะเพื่อพยายามรวบรวมข้อมูลระบบที่กว้างขวาง
นักขโมยนกกาเหว่าประนีประนอมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ถูกละเมิด
มัลแวร์ Cuckoo ได้รับการออกแบบมาเพื่อดำเนินการตามลำดับคำสั่งที่มีจุดประสงค์เพื่อแยกรายละเอียดฮาร์ดแวร์ จับกระบวนการที่ใช้งานอยู่ ค้นหาแอปพลิเคชันที่ติดตั้ง จับภาพหน้าจอ และรวบรวมข้อมูลจากแหล่งต่าง ๆ รวมถึงพวงกุญแจ iCloud, Apple Notes, เว็บเบราว์เซอร์, กระเป๋าเงินเข้ารหัสลับ และเฉพาะ แอปพลิเคชันเช่น Discord, FileZilla, Steam และ Telegram
แอปพลิเคชันที่เป็นอันตรายแต่ละแอปพลิเคชันจะมีชุดแอปพลิเคชันแบบฝังอยู่ภายในไดเร็กทอรีทรัพยากร ชุดรวมเหล่านี้ส่วนใหญ่ ยกเว้นจาก fonedog.com ได้รับการลงนามและมี ID นักพัฒนาที่ถูกต้องซึ่งมาจาก Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) โดยเฉพาะอย่างยิ่ง fonedog.com โฮสต์เครื่องมือการกู้คืน Android พร้อมกับข้อเสนออื่นๆ และชุดแอปพลิเคชันเพิ่มเติมมี ID นักพัฒนาจาก FoneDog Technology Limited (CUAU2GTG98)
อุปกรณ์ Mac กลายเป็นเป้าหมายของการโจมตีมัลแวร์บ่อยครั้ง
อาชญากรไซเบอร์ได้ใช้เครื่องมือมัลแวร์ที่มุ่งเป้าไปที่อุปกรณ์ Mac โดยมีตัวอย่างที่โดดเด่นอย่างหนึ่งคือตระกูลมัลแวร์ AdLoad เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยของข้อมูลได้ส่งสัญญาณเตือนเกี่ยวกับมัลแวร์รูปแบบใหม่ที่เรียกว่า Rload (หรือที่รู้จักในชื่อ Lador) ซึ่งเขียนด้วยภาษาโปรแกรม Go Rload ได้รับการออกแบบมาเพื่อหลีกเลี่ยงรายการลายเซ็นมัลแวร์ XProtect ของ Apple และได้รับการคอมไพล์สำหรับสถาปัตยกรรม Intel x86_64 โดยเฉพาะ
ไบนารีเหล่านี้ทำหน้าที่เป็นตัวหยดเริ่มต้นสำหรับขั้นตอนเพย์โหลดที่ตามมา ปัจจุบันวิธีการกระจายที่แน่นอนยังไม่ชัดเจน อย่างไรก็ตาม โดยทั่วไปจะพบหยดเหล่านี้ฝังอยู่ในแอปพลิเคชันที่ถอดรหัสหรือโทรจันที่เผยแพร่ผ่านเว็บไซต์ที่เป็นอันตราย
AdLoad ซึ่งเป็นแคมเปญแอดแวร์ที่ส่งผลกระทบต่อ macOS ตั้งแต่ปี 2017 เป็นอย่างน้อย มีชื่อเสียงในการแย่งชิงผลลัพธ์ของเครื่องมือค้นหาและแทรกโฆษณาลงในเว็บเพจ ซึ่งสามารถทำได้ผ่านการตั้งค่าเว็บพรอกซีแบบแทรกกลาง โดยเปลี่ยนเส้นทางการรับส่งข้อมูลเว็บของผู้ใช้ผ่านโครงสร้างพื้นฐานของผู้โจมตีเพื่อผลประโยชน์ทางการเงิน
