Cuckoo Stealer apunta a los sistemas Mac

Los investigadores de seguridad han detectado un nuevo ladrón de información dirigido a los sistemas Apple macOS, diseñado para establecer persistencia en las máquinas afectadas y operar como software espía. Conocido como Cuckoo por Kandji, este malware es un binario Mach-O universal compatible con Mac basadas en Intel y Arm.

El método preciso de distribución aún no está claro, aunque la evidencia sugiere que el binario está alojado en sitios web como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com y tunefab[.]com, que afirman ofrecer varias versiones de aplicaciones para copiar música de servicios de transmisión a MP3.

Al descargar el archivo de imagen de disco de estos sitios, se inicia un shell bash para recopilar información del host y confirmar que la máquina comprometida no se encuentra en Armenia, Bielorrusia, Kazajstán, Rusia o Ucrania, y el binario malicioso solo se ejecuta si esta verificación tiene éxito.

Modo de funcionamiento del ladrón de cucos

El malware establece persistencia a través de LaunchAgent, un método utilizado anteriormente por otras familias de malware como RustBucket, XLoader, JaskaGO y una puerta trasera de macOS similar a ZuRu.

Al igual que el malware MacStealer para macOS, Cuckoo también utiliza osascript para presentar una solicitud de contraseña falsa, engañando a los usuarios para que ingresen sus contraseñas del sistema para aumentar sus privilegios.

Según los investigadores, el malware busca archivos específicos vinculados a aplicaciones particulares en un intento de recopilar información extensa del sistema. Realiza varios comandos para extraer detalles del hardware, capturar procesos en ejecución, consultar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de iCloud Keychain, Apple Notes, navegadores web, billeteras criptográficas y aplicaciones como Discord, FileZilla, Steam y Telegram.

La divulgación se produce tras la reciente exposición por parte de una empresa de gestión de dispositivos Apple de otro malware ladrón llamado CloudChat, que se hace pasar por una aplicación de mensajería centrada en la privacidad capaz de comprometer a los usuarios de macOS fuera de China.

CloudChat opera capturando claves privadas criptográficas del portapapeles y datos de las extensiones de billetera en Google Chrome.

Además, se ha descubierto una nueva variante del conocido malware AdLoad escrito en Go, llamado Rload (o Lador). Está diseñado para evadir la lista de firmas de malware XProtect de Apple y compilado exclusivamente para la arquitectura Intel x86_64.