カッコウ泥棒が Mac システムを狙う

セキュリティ研究者は、Apple macOS システムを狙った新たな情報窃盗犯を検出しました。このマルウェアは、感染したマシンに常駐し、スパイウェアとして動作するように設計されています。Kandji 氏によって Cuckoo として知られているこのマルウェアは、Intel ベースと Arm ベースの両方の Mac と互換性のあるユニバーサル Mach-O バイナリです。

配布の正確な方法は不明ですが、証拠から、バイナリは dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com、tunefab[.]com などの Web サイトでホストされていることがわかります。これらの Web サイトは、ストリーミング サービスから音楽を MP3 にリッピングするためのさまざまなバージョンのアプリケーションを提供していると主張しています。

これらのサイトからディスク イメージ ファイルをダウンロードすると、bash シェルが起動され、ホスト情報を収集して、侵害されたマシンがアルメニア、ベラルーシ、カザフスタン、ロシア、ウクライナにないことを確認します。このチェックが成功した場合にのみ、悪意のあるバイナリが実行されます。

カッコウスティーラーの動作モード

このマルウェアは、RustBucket、XLodaer、JaskaGO、ZuRu に似た macOS バックドアなど、他のマルウェア ファミリで以前に使用された方法である LaunchAgent を通じて永続性を確立します。

MacStealer macOS マルウェアと同様に、Cuckoo も osascript を使用して偽のパスワードプロンプトを表示し、ユーザーを騙してシステムパスワードを入力させ、権限を昇格させます。

研究者によると、このマルウェアは特定のアプリケーションにリンクされた特定のファイルをスキャンし、広範なシステム情報を収集しようとします。さまざまなコマンドを実行してハードウェアの詳細を抽出し、実行中のプロセスをキャプチャし、インストールされているアプリケーションを照会し、スクリーンショットを撮り、iCloud キーチェーン、Apple Notes、Web ブラウザー、暗号通貨ウォレット、Discord、FileZilla、Steam、Telegram などのアプリからデータを収集します。

この暴露は、中国国外のmacOSユーザーを危険にさらす可能性のあるプライバシー重視のメッセージングアプリを装ったCloudChatと呼ばれる別の窃盗マルウェアがAppleデバイス管理会社によって最近暴露されたことを受けてのものだ。

CloudChat は、クリップボードから暗号秘密鍵を取得し、Google Chrome のウォレット拡張機能からデータを取得することで動作します。

さらに、Go で書かれた有名な AdLoad マルウェアの新しい亜種である Rload (または Lador) が発見されました。これは、Apple の XProtect マルウェア シグネチャ リストを回避するように作成されており、Intel x86_64 アーキテクチャ専用にコンパイルされています。