Magnanakaw ng Cuckoo
Ang mga mananaliksik sa cybersecurity ay nakahukay ng isang bagong banta na nagta-target sa mga Apple macOS system, na idinisenyo upang magtatag ng patuloy na pag-access sa mga nakompromisong host at gumana bilang spyware. Pinangalanang Cuckoo, ang malware na ito ay isang unibersal na Mach-O binary na may kakayahang tumakbo sa parehong Intel at Arm-based na mga Mac.
Ang tiyak na paraan ng pamamahagi ay nananatiling hindi tiyak. Gayunpaman, may mga palatandaan na ang binary ay naka-host sa maraming website (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com, at tunefab.com) na naglalayong magbigay ng libre at bayad na mga application para sa pag-rip ng musika mula sa mga serbisyo ng streaming at pag-convert ito sa MP3 format.
Talaan ng mga Nilalaman
Ang Cuckoo Stealer ay Nagtatatag ng Pagtitiyaga sa Infected Mac
Ang disk image file na nakuha mula sa mga website na ito ay nagpapasimula ng isang bash shell upang mangolekta ng mga detalye ng host. Tinitiyak nito na ang nakompromisong makina ay hindi matatagpuan sa Armenia, Belarus, Kazakhstan, Russia o Ukraine. Gumagana lang ang mapanlinlang na binary kung magtagumpay ang locale check.
Higit pa rito, nagtatatag ito ng pagpupursige gamit ang isang LaunchAgent, isang paraan na dati nang ginamit ng iba't ibang pamilya ng malware gaya ng RustBucket , XLoader , JaskaGO , at isang macOS backdoor na may pagkakatulad sa ZuRu .
Katulad ng MacStealer macOS malware, ang Cuckoo ay gumagamit ng osascript para magpakita ng pekeng password prompt, na nanlilinlang sa mga user na ipasok ang kanilang mga password sa system para sa pagtaas ng pribilehiyo. Nag-scan din ang malware na ito para sa mga partikular na file na naka-link sa mga partikular na application sa pagsisikap na mangalap ng malawak na impormasyon ng system.
Kinokompromiso ng Cuckoo Stealer ang Sensitibong Impormasyon mula sa Mga Nilabag na Device
Ang Cuckoo Malware ay idinisenyo upang magsagawa ng isang pagkakasunud-sunod ng mga utos na naglalayong kunin ang mga detalye ng hardware, pagkuha ng mga aktibong proseso, pagtatanong sa mga naka-install na application, pagkuha ng mga screenshot, at pag-aani ng data mula sa iba't ibang mapagkukunan, kabilang ang iCloud Keychain, Apple Notes, Web browser, crypto wallet, at partikular na mga application tulad ng Discord, FileZilla, Steam at Telegram.
Ang bawat nagbabantang application ay may kasamang naka-embed na bundle ng application sa loob ng resource directory nito. Karamihan sa mga bundle na ito, maliban sa mga mula sa fonedog.com, ay nilagdaan at may valid na Developer ID na nauugnay sa Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Kapansin-pansin, nagho-host ang fonedog.com ng Android recovery tool kasama ng iba pang mga alok, at ang karagdagang application bundle nito ay nagtatampok ng developer ID mula sa FoneDog Technology Limited (CUAU2GTG98).
Ang Mga Mac Device ay Naging Madalas na Target ng Mga Pag-atake ng Malware
Ang mga cybercriminal ay nagde-deploy ng mga tool ng malware na naglalayong sa mga Mac device, na may isang kilalang halimbawa ay ang AdLoad malware family. Kamakailan, ang mga mananaliksik sa seguridad ng impormasyon ay nagtaas ng mga alarma tungkol sa isang bagong variant ng kilalang malware na ito na tinatawag na Rload (kilala rin bilang Lador), na nakasulat sa Go programming language. Ang Rload ay idinisenyo upang i-bypass ang XProtect malware signature list ng Apple at partikular na pinagsama-sama para sa Intel x86_64 architecture.
Ang mga binary na ito ay kumikilos bilang mga paunang dropper para sa mga susunod na yugto ng payload. Sa kasalukuyan, ang mga eksaktong paraan ng pamamahagi ay nananatiling hindi malinaw. Gayunpaman, ang mga dropper na ito ay karaniwang makikitang naka-embed sa mga crack o trojanized na application na ipinamahagi sa pamamagitan ng mga nakakahamak na website.
Ang AdLoad, isang adware campaign na nakakaapekto sa macOS mula pa noong 2017, ay kilalang-kilala sa pag-hijack ng mga resulta ng search engine at pag-inject ng mga advertisement sa mga Web page. Nagagawa ito sa pamamagitan ng isang man-in-the-middle web proxy setup, na nagre-redirect ng trapiko sa web ng user sa pamamagitan ng imprastraktura ng umaatake para sa pinansyal na pakinabang.
