偷杜鵑者

網路安全研究人員發現了一種針對 Apple macOS 系統的新威脅，旨在對受感染的主機建立持久存取並作為間諜軟體運作。該惡意軟體名為 Cuckoo，是一種通用的 Mach-O 二進位文件，能夠在基於 Intel 和 Arm 的 Mac 上運行。

具體分配方式仍不確定。然而，有跡象表明該二進位檔案託管在多個網站（dumpmedia.com、tunesolo.com、fonedog.com、tunesfun.com 和unefab.com）上，聲稱提供免費和付費應用程序，用於從串流媒體服務中擷取音樂並進行轉換轉為 MP3 格式。

Cuckoo Stealer 在受感染的 Mac 上建立持久性

從這些網站取得的磁碟映像檔會啟動 bash shell 來收集主機詳細資料。它確保受感染的機器不在亞美尼亞、白俄羅斯、哈薩克、俄羅斯或烏克蘭。只有當區域設定檢查成功時，欺詐性二進位檔案才會運作。

此外，它使用 LaunchAgent 建立持久性，這是各種惡意軟體家族先前使用的方法，例如RustBucket 、 XLoader 、 JaskaGO以及與ZuRu具有相似之處的 macOS 後門。

與 MacStealer macOS 惡意軟體類似，Cuckoo 使用 osascript 呈現虛假密碼提示，欺騙使用者輸入系統密碼以實現權限升級。該惡意軟體還會掃描連結到特定應用程式的特定文件，以收集大量系統資訊。

Cuckoo Stealer 洩漏來自被破壞設備的敏感訊息

Cuckoo 惡意軟體旨在執行一系列命令，旨在提取硬體詳細資訊、捕獲活動進程、查詢已安裝的應用程式、截取螢幕截圖以及從各種來源（包括iCloud 鑰匙圈、Apple Notes、Web 瀏覽器、加密錢包和特定來源）收集數據。

每個威脅應用程式在其資源目錄中都包含一個嵌入式應用程式包。除 fonedog.com 的套裝外，大多數套裝組合均已簽署並帶有歸屬於易安科技深圳有限公司 (VRBJ4VRP) 的有效開發者 ID。值得注意的是，fonedog.com託管了Android恢復工具以及其他產品，其附加應用程式套件具有來自FoneDog Technology Limited（CUAU2GTG98）的開發人員ID。

Mac 裝置已成為惡意軟體攻擊的常見目標

網路犯罪分子一直在部署針對 Mac 裝置的惡意軟體工具，其中一個突出的例子是AdLoad惡意軟體系列。最近，資訊安全研究人員對這種臭名昭著的惡意軟體的新變體發出了警報，該變體名為 Rload（也稱為 Lador），是用 Go 程式語言編寫的。 Rload旨在繞過 Apple 的 XProtect 惡意軟體簽章列表，並專為 Intel x86_64 架構編譯。

這些二進位檔案充當後續有效負載階段的初始釋放器。目前，具體的分配方式尚不清楚。然而，這些植入程式通常嵌入在透過惡意網站分發的破解或木馬應用程式中。

AdLoad 是一種廣告軟體活動，至少從 2017 年開始就影響著 macOS，它因劫持搜尋引擎結果並將廣告注入網頁而臭名昭著。這是透過中間人 Web 代理設定來完成的，透過攻擊者的基礎設施重新導向使用者 Web 流量以獲取經濟利益。