„Cuckoo Stealer“ nusitaikė į „Mac Systems“.
Saugumo tyrėjai aptiko naują informacijos vagį, nukreiptą į „Apple MacOS“ sistemas, sukurtas užtikrinti, kad paveiktos mašinos veiktų ir veiktų kaip šnipinėjimo programos. Ši kenkėjiška programa, Kandji žinoma kaip Cuckoo, yra universali dvejetainė „Mach-O“, suderinama su „Intel“ ir „Arm“ pagrindu veikiančiais „Mac“ kompiuteriais.
Tikslus platinimo būdas lieka neaiškus, nors įrodymai rodo, kad dvejetainis failas yra talpinamas tokiose svetainėse kaip dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com ir tunefab[.]com, kurios teigia siūlantis įvairias programų versijas, skirtas muzikai nukopijuoti iš srautinio perdavimo paslaugų į MP3.
Atsisiuntus disko vaizdo failą iš šių svetainių, paleidžiamas bash apvalkalas, skirtas surinkti pagrindinio kompiuterio informaciją ir patvirtinti, kad pažeistas įrenginys nėra Armėnijoje, Baltarusijoje, Kazachstane, Rusijoje ar Ukrainoje, o kenkėjiškas dvejetainis failas vykdomas tik tada, kai šis patikrinimas yra sėkmingas.
„Cuckoo Stealer“ veikimo režimas
Kenkėjiška programa užtikrina patvarumą per LaunchAgent – metodą, kurį anksčiau naudojo kitos kenkėjiškų programų šeimos, pvz., „RustBucket“, „XLoader“, „JaskaGO“, ir „MacOS“ užpakalinės durys, panašios į „ZuRu“.
Panašiai kaip MacStealer macOS kenkėjiška programa, Cuckoo taip pat naudoja osascript, kad pateiktų suklastotą slaptažodžio raginimą, apgaudinėdama vartotojus įvesti savo sistemos slaptažodžius, kad būtų padidintos privilegijos.
Tyrėjų teigimu, kenkėjiška programa nuskaito konkrečius failus, susietus su konkrečiomis programomis, bandydama surinkti didelę sistemos informaciją. Jis atlieka įvairias komandas, skirtas išgauti aparatūros detales, užfiksuoti vykdomus procesus, pateikti užklausas įdiegtoms programoms, daryti ekrano kopijas ir rinkti duomenis iš „iCloud Keychain“, „Apple Notes“, žiniatinklio naršyklių, kriptovaliutų piniginių ir tokių programų kaip „Discord“, „FileZilla“, „Steam“ ir „Telegram“.
Šis atskleidimas buvo paskelbtas po to, kai „Apple“ įrenginių valdymo įmonė neseniai aptiko kitą kenkėjišką programinę įrangą, vadinamą „CloudChat“, kuri yra į privatumą orientuota pranešimų siuntimo programa, galinti pakenkti „MacOS“ naudotojams už Kinijos ribų.
„CloudChat“ veikia paimdama kriptovaliutų privačius raktus iš mainų srities ir duomenis iš „Google Chrome“ piniginės plėtinių.
Be to, buvo aptiktas naujas gerai žinomos AdLoad kenkėjiškos programos variantas, parašytas Go, pavadintas Rload (arba Lador). Jis sukurtas siekiant išvengti Apple XProtect kenkėjiškų programų parašų sąrašo ir sudarytas išskirtinai Intel x86_64 architektūrai.