Cuckoo Stealer richt zich op Mac-systemen

Beveiligingsonderzoekers hebben een nieuwe informatiedief ontdekt die zich richt op Apple macOS-systemen, ontworpen om persistentie op getroffen machines tot stand te brengen en als spyware te werken. Deze malware, door Kandji bekend als Cuckoo, is een universeel Mach-O-binair bestand dat compatibel is met zowel Intel- als Arm-gebaseerde Macs.

De precieze distributiemethode blijft onduidelijk, hoewel er aanwijzingen zijn dat het binaire bestand wordt gehost op websites als dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com en tunefab[.]com, die beweren verschillende versies van applicaties aan te bieden voor het rippen van muziek van streamingdiensten naar mp3.

Bij het downloaden van het schijfkopiebestand van deze sites wordt een bash-shell gelanceerd om hostinformatie te verzamelen en te bevestigen dat de gecompromitteerde machine zich niet in Armenië, Wit-Rusland, Kazachstan, Rusland of Oekraïne bevindt, waarbij het kwaadaardige binaire bestand alleen wordt uitgevoerd als deze controle succesvol is.

Koekoekstealer-modus

De malware zorgt voor persistentie via een LaunchAgent, een methode die eerder werd gebruikt door andere malwarefamilies zoals RustBucket, XLoader, JaskaGO en een macOS-achterdeur vergelijkbaar met ZuRu.

Net als de MacStealer macOS-malware gebruikt Cuckoo ook osascript om een valse wachtwoordprompt weer te geven, waardoor gebruikers worden verleid hun systeemwachtwoorden in te voeren voor escalatie van bevoegdheden.

Volgens onderzoekers scant de malware op specifieke bestanden die aan bepaalde applicaties zijn gekoppeld in een poging uitgebreide systeeminformatie te verzamelen. Het voert verschillende opdrachten uit om hardwaredetails te extraheren, lopende processen vast te leggen, geïnstalleerde applicaties op te vragen, schermafbeeldingen te maken en gegevens te verzamelen van iCloud-sleutelhanger, Apple Notes, webbrowsers, crypto-wallets en apps zoals Discord, FileZilla, Steam en Telegram.

De onthulling volgt op de recente ontmaskering door een apparaatbeheerbedrijf van Apple van een andere stealer-malware genaamd CloudChat, die zich voordoet als een op privacy gerichte berichten-app die macOS-gebruikers buiten China in gevaar kan brengen.

CloudChat werkt door crypto-privésleutels van het klembord en gegevens van portemonnee-extensies op Google Chrome te bemachtigen.

Bovendien is er een nieuwe variant van de bekende AdLoad-malware geschreven in Go, genaamd Rload (of Lador), ontdekt. Het is gemaakt om de XProtect-malwaresignatuurlijst van Apple te omzeilen en is exclusief samengesteld voor Intel x86_64-architectuur.