Το Cuckoo Stealer στοχεύει στα Mac Systems

Ερευνητές ασφαλείας εντόπισαν έναν νέο κλέφτη πληροφοριών που στοχεύει σε συστήματα Apple macOS, σχεδιασμένα να αποδεικνύουν την επιμονή στα επηρεαζόμενα μηχανήματα και να λειτουργούν ως spyware. Γνωστό ως Cuckoo by Kandji, αυτό το κακόβουλο λογισμικό είναι ένα καθολικό δυαδικό Mach-O συμβατό με Mac που βασίζονται σε Intel και Arm.

Η ακριβής μέθοδος διανομής παραμένει ασαφής, αν και τα στοιχεία δείχνουν ότι το δυαδικό αρχείο φιλοξενείται σε ιστότοπους όπως dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com και tunefab[.]com, οι οποίοι ισχυρίζονται ότι προσφέρουν διάφορες εκδόσεις εφαρμογών για αντιγραφή μουσικής από υπηρεσίες ροής σε MP3.

Κατά τη λήψη του αρχείου εικόνας δίσκου από αυτές τις τοποθεσίες, εκκινείται ένα κέλυφος bash για τη συλλογή πληροφοριών κεντρικού υπολογιστή και την επιβεβαίωση ότι το παραβιασμένο μηχάνημα δεν βρίσκεται στην Αρμενία, τη Λευκορωσία, το Καζακστάν, τη Ρωσία ή την Ουκρανία, με το κακόβουλο δυαδικό αρχείο να εκτελείται μόνο εάν αυτός ο έλεγχος είναι επιτυχής.

Τρόπος λειτουργίας Cuckoo Stealer

Το κακόβουλο λογισμικό εδραιώνει την επιμονή μέσω ενός LaunchAgent, μιας μεθόδου που χρησιμοποιήθηκε στο παρελθόν από άλλες οικογένειες κακόβουλου λογισμικού όπως οι RustBucket, XLoader, JaskaGO και μια κερκόπορτα macOS παρόμοια με το ZuRu.

Παρόμοια με το κακόβουλο λογισμικό MacStealer macOS, το Cuckoo χρησιμοποιεί επίσης το osascript για να παρουσιάσει ένα ψεύτικο μήνυμα κωδικού πρόσβασης, εξαπατώντας τους χρήστες να εισαγάγουν τους κωδικούς πρόσβασης του συστήματός τους για κλιμάκωση των προνομίων.

Σύμφωνα με ερευνητές, το κακόβουλο λογισμικό σαρώνει για συγκεκριμένα αρχεία που συνδέονται με συγκεκριμένες εφαρμογές σε μια προσπάθεια να συγκεντρώσει εκτενείς πληροφορίες συστήματος. Εκτελεί διάφορες εντολές για εξαγωγή λεπτομερειών υλικού, λήψη διεργασιών που εκτελούνται, υποβολή ερωτημάτων σε εγκατεστημένες εφαρμογές, λήψη στιγμιότυπων οθόνης και συλλογή δεδομένων από το iCloud Keychain, τις Apple Notes, τα προγράμματα περιήγησης ιστού, τα πορτοφόλια κρυπτογράφησης και εφαρμογές όπως το Discord, το FileZilla, το Steam και το Telegram.

Η αποκάλυψη ακολουθεί την πρόσφατη έκθεση από μια εταιρεία διαχείρισης συσκευών της Apple ενός άλλου κακόβουλου λογισμικού που κλέβει το CloudChat, το οποίο υποδύεται ως μια εφαρμογή ανταλλαγής μηνυμάτων εστιασμένη στο απόρρητο, ικανή να θέτει σε κίνδυνο τους χρήστες macOS εκτός Κίνας.

Το CloudChat λειτουργεί με την κατάσχεση ιδιωτικών κλειδιών κρυπτογράφησης από το πρόχειρο και δεδομένων από επεκτάσεις πορτοφολιού στο Google Chrome.

Επιπλέον, ανακαλύφθηκε μια νέα παραλλαγή του γνωστού κακόβουλου λογισμικού AdLoad γραμμένο στο Go, με το όνομα Rload (ή Lador). Είναι κατασκευασμένο για να αποφεύγει τη λίστα υπογραφών κακόβουλου λογισμικού XProtect της Apple και έχει δημιουργηθεί αποκλειστικά για αρχιτεκτονική Intel x86_64.