A Cuckoo Stealer a Mac Systems ellen veszi célba
Biztonsági kutatók új információtolvajt fedeztek fel, aki az Apple macOS rendszerei ellen irányult, és amelynek célja az érintett gépek tartósságának biztosítása és kémprogramként való működés. A Kandji által Cuckoo néven ismert kártevő egy univerzális Mach-O bináris program, amely Intel- és Arm-alapú Mac-ekkel is kompatibilis.
A terjesztés pontos módja továbbra is tisztázatlan, bár a bizonyítékok arra utalnak, hogy a bináris fájlt olyan webhelyek tárolják, mint a dumpmedia[.]com, a tunesolo[.]com, a fonedog[.]com, a tunesfun[.]com és a tunefab[.]com, amelyek azt állítják, hogy különböző verziójú alkalmazásokat kínálnak a zene streaming szolgáltatásokból MP3 formátumba másolására.
Amikor letölti a lemezképfájlt ezekről a webhelyekről, egy bash shell elindul, hogy összegyűjtse a gazdagépre vonatkozó információkat, és megbizonyosodjon arról, hogy a feltört gép nem Örményországban, Fehéroroszországban, Kazahsztánban, Oroszországban vagy Ukrajnában található, és a rosszindulatú bináris fájl csak akkor fut le, ha az ellenőrzés sikeres.
Kakukklopó működési mód
A rosszindulatú program a LaunchAgenten keresztül biztosítja a tartósságot, ezt a módszert korábban más rosszindulatú programcsaládok, például a RustBucket, az XLoader, a JaskaGO és a ZuRu-hoz hasonló macOS-hátsóajtó is használta.
A MacStealer macOS rosszindulatú programhoz hasonlóan a Cuckoo is osascriptet használ hamis jelszókérés megjelenítésére, amellyel a felhasználókat a rendszerjelszavak megadására készteti a jogosultság eszkalációja érdekében.
A kutatók szerint a kártevő bizonyos alkalmazásokhoz kapcsolódó fájlokat keres, hogy átfogó rendszerinformációkat gyűjtsön össze. Különféle parancsokat hajt végre a hardverrészletek kinyerésére, a futó folyamatok rögzítésére, a telepített alkalmazások lekérdezésére, képernyőképek készítésére, valamint adatok gyűjtésére az iCloud Keychainből, az Apple Notes-ból, a webböngészőkből, a titkosított pénztárcákból és az olyan alkalmazásokból, mint a Discord, FileZilla, Steam és Telegram.
A nyilvánosságra hozatal azt követi, hogy egy Apple eszközkezelő cég nemrégiben leleplezte egy másik, a CloudChat nevű lopó rosszindulatú szoftvert, amely egy adatvédelmi központú üzenetküldő alkalmazásnak adja ki magát, amely képes kompromittálni a Kínán kívüli macOS-felhasználókat.
A CloudChat úgy működik, hogy lefoglalja a titkosított titkos kulcsokat a vágólapról és a Google Chrome pénztárcabővítményeiből származó adatokat.
Ezenkívül felfedezték a jól ismert, Go-ban írt AdLoad malware új változatát, az Rload (vagy Lador) nevet. Úgy tervezték, hogy elkerülje az Apple XProtect kártevő-aláírási listáját, és kizárólag Intel x86_64 architektúrához készült.