Зозуля викрадачка
Дослідники з кібербезпеки виявили нову загрозу, націлену на системи Apple macOS, розроблену для встановлення постійного доступу до скомпрометованих хостів і роботи як шпигунського програмного забезпечення. Це зловмисне програмне забезпечення під назвою Cuckoo є універсальним двійковим файлом Mach-O, здатним працювати на комп’ютерах Mac на базі Intel і Arm.
Конкретний спосіб розподілу залишається невизначеним. Проте є ознаки того, що двійковий файл розміщено на кількох веб-сайтах (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com і tunefab.com), які нібито надають безкоштовні та платні програми для копіювання музики з потокових служб і конвертації у формат MP3.
Зміст
Cuckoo Stealer встановлює стійкість на зараженому Mac
Файл образу диска, отриманий із цих веб-сайтів, ініціює оболонку bash для збору інформації про хост. Це гарантує, що скомпрометована машина не знаходиться у Вірменії, Білорусі, Казахстані, Росії чи Україні. Шахрайський двійковий файл запускається лише за умови успішної перевірки локалі.
Крім того, він забезпечує стійкість за допомогою LaunchAgent, методу, який раніше використовувався різними сімействами зловмисного програмного забезпечення, такими як RustBucket , XLoader , JaskaGO та бекдором macOS, який схожий на ZuRu .
Подібно до зловмисного програмного забезпечення MacStealer для macOS, Cuckoo використовує osascript, щоб надати підроблений пароль, обманюючи користувачів, змушуючи їх вводити системні паролі для підвищення привілеїв. Це зловмисне програмне забезпечення також сканує певні файли, пов’язані з певними програмами, намагаючись зібрати велику інформацію про систему.
The Cuckoo Stealer компрометує конфіденційну інформацію зі зламаних пристроїв
Зловмисне програмне забезпечення Cuckoo призначене для виконання послідовності команд, спрямованих на вилучення деталей апаратного забезпечення, захоплення активних процесів, запитів до встановлених програм, створення скріншотів і збирання даних із різних джерел, включаючи iCloud Keychain, Apple Notes, веб-браузери, крипто-гаманці та інші. такі програми, як Discord, FileZilla, Steam і Telegram.
Кожна загрозлива програма містить вбудований пакет програм у своєму каталозі ресурсів. Більшість цих пакетів, за винятком пакетів із fonedog.com, підписані та мають дійсний ідентифікатор розробника, присвоєний Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Примітно, що fonedog.com містить інструмент відновлення Android разом з іншими пропозиціями, а його додатковий пакет програм містить ідентифікатор розробника від FoneDog Technology Limited (CUAU2GTG98).
Пристрої Mac стали частою мішенню для атак шкідливих програм
Кіберзлочинці розгортають інструменти зловмисного програмного забезпечення, націлені на пристрої Mac, одним із яскравих прикладів є сімейство шкідливих програм AdLoad . Нещодавно дослідники інформаційної безпеки підняли тривогу щодо нового варіанту цього сумнозвісного шкідливого програмного забезпечення під назвою Rload (також відомого як Lador), написаного на мові програмування Go. Rload розроблений для обходу списку сигнатур зловмисного програмного забезпечення XProtect від Apple і скомпільований спеціально для архітектури Intel x86_64.
Ці двійкові файли діють як початкові дроппери для наступних етапів корисного навантаження. Наразі точні методи розповсюдження залишаються неясними. Однак ці дроппери зазвичай вбудовані у зламані або троянські програми, які поширюються через шкідливі веб-сайти.
AdLoad, рекламна кампанія, яка впливає на macOS принаймні з 2017 року, сумно відома тим, що викрадує результати пошукової системи та вставляє рекламу на веб-сторінки. Це досягається за допомогою налаштування веб-проксі-сервера "людина посередині", який перенаправляє веб-трафік користувача через інфраструктуру зловмисника для отримання фінансової вигоди.
