Kẻ trộm chim cúc cu
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mối đe dọa mới nhắm vào các hệ thống macOS của Apple, được thiết kế để thiết lập quyền truy cập liên tục trên các máy chủ bị xâm nhập và hoạt động như phần mềm gián điệp. Được đặt tên là Cuckoo, phần mềm độc hại này là một mã nhị phân Mach-O phổ quát có khả năng chạy trên cả máy Mac dựa trên Intel và Arm.
Phương pháp phân phối cụ thể vẫn chưa chắc chắn. Tuy nhiên, có dấu hiệu cho thấy tệp nhị phân được lưu trữ trên nhiều trang web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com và tunefab.com) nhằm mục đích cung cấp các ứng dụng miễn phí và trả phí để trích xuất nhạc từ các dịch vụ phát trực tuyến và chuyển đổi nó sang định dạng MP3.
Mục lục
Kẻ đánh cắp Cuckoo thiết lập sự tồn tại trên máy Mac bị nhiễm virus
Tệp hình ảnh đĩa thu được từ các trang web này khởi tạo một bash shell để thu thập thông tin chi tiết về máy chủ. Nó đảm bảo máy bị xâm nhập không nằm ở Armenia, Belarus, Kazakhstan, Nga hoặc Ukraine. Tệp nhị phân gian lận chỉ chạy nếu kiểm tra ngôn ngữ thành công.
Hơn nữa, nó thiết lập tính bền vững bằng cách sử dụng LaunchAgent, một phương pháp trước đây được nhiều dòng phần mềm độc hại khác nhau sử dụng như RustBucket , XLoader , JaskaGO và cửa hậu macOS có điểm tương đồng với ZuRu .
Tương tự như phần mềm độc hại MacStealer macOS, Cuckoo sử dụng osascript để hiển thị lời nhắc mật khẩu giả, lừa người dùng nhập mật khẩu hệ thống của họ để leo thang đặc quyền. Phần mềm độc hại này cũng quét các tệp cụ thể được liên kết với các ứng dụng cụ thể nhằm nỗ lực thu thập thông tin hệ thống rộng rãi.
Kẻ đánh cắp Cuckoo xâm phạm thông tin nhạy cảm từ các thiết bị bị vi phạm
Phần mềm độc hại Cuckoo được thiết kế để thực thi một chuỗi lệnh nhằm trích xuất chi tiết phần cứng, nắm bắt các quy trình đang hoạt động, truy vấn các ứng dụng đã cài đặt, chụp ảnh màn hình và thu thập dữ liệu từ nhiều nguồn khác nhau, bao gồm Chuỗi khóa iCloud, Ghi chú Apple, trình duyệt Web, ví tiền điện tử và các nguồn cụ thể. các ứng dụng như Discord, FileZilla, Steam và Telegram.
Mỗi ứng dụng đe dọa bao gồm một gói ứng dụng nhúng trong thư mục tài nguyên của nó. Hầu hết các gói này, ngoại trừ các gói từ fonedog.com, đều được ký và mang ID nhà phát triển hợp lệ được cấp cho Yian Technology Thâm Quyến Co., Ltd (VRBJ4VRP). Đáng chú ý, fonedog.com đã lưu trữ một công cụ khôi phục Android cùng với các dịch vụ khác và gói ứng dụng bổ sung của nó có ID nhà phát triển từ FoneDog Technology Limited (CUAU2GTG98).
Thiết bị Mac đã trở thành mục tiêu thường xuyên của các cuộc tấn công phần mềm độc hại
Tội phạm mạng đã và đang triển khai các công cụ phần mềm độc hại nhắm vào các thiết bị Mac, trong đó một ví dụ nổi bật là họ phần mềm độc hại AdLoad . Gần đây, các nhà nghiên cứu bảo mật thông tin đã đưa ra cảnh báo về một biến thể mới của loại phần mềm độc hại khét tiếng này có tên Rload (còn gọi là Lador), được viết bằng ngôn ngữ lập trình Go. Rload được thiết kế để vượt qua danh sách chữ ký phần mềm độc hại XProtect của Apple và được biên dịch riêng cho kiến trúc Intel x86_64.
Các tệp nhị phân này hoạt động như các phần tử nhỏ giọt ban đầu cho các giai đoạn tải trọng tiếp theo. Hiện tại, các phương pháp phân phối chính xác vẫn chưa rõ ràng. Tuy nhiên, những phần mềm nhỏ giọt này thường được tìm thấy trong các ứng dụng bị bẻ khóa hoặc bị trojan hóa và phân phối thông qua các trang web độc hại.
AdLoad, một chiến dịch phần mềm quảng cáo ảnh hưởng đến macOS ít nhất từ năm 2017, nổi tiếng với việc chiếm đoạt kết quả của công cụ tìm kiếm và đưa quảng cáo vào các trang Web. Điều này được thực hiện thông qua thiết lập proxy web trung gian, chuyển hướng lưu lượng truy cập web của người dùng thông qua cơ sở hạ tầng của kẻ tấn công để thu lợi tài chính.
