Cuckoo Stealer celuje w systemy Mac
Badacze bezpieczeństwa wykryli nowego złodzieja informacji, którego celem są systemy Apple macOS, którego zadaniem jest utrwalanie się na zagrożonych komputerach i działanie jako oprogramowanie szpiegujące. Szkodnik ten, znany przez Kandji jako Cuckoo, jest uniwersalnym plikiem binarnym Mach-O, kompatybilnym z komputerami Mac z procesorami Intel i Arm.
Dokładna metoda dystrybucji pozostaje niejasna, chociaż dowody sugerują, że plik binarny jest hostowany na stronach internetowych takich jak dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com i tunefab[.]com, które twierdzi, że oferuje różne wersje aplikacji do zgrywania muzyki z serwisów strumieniowych do formatu MP3.
Po pobraniu pliku obrazu dysku z tych witryn uruchamiana jest powłoka bash, która zbiera informacje o hoście i potwierdza, że zaatakowana maszyna nie znajduje się w Armenii, Białorusi, Kazachstanie, Rosji lub Ukrainie, a szkodliwy plik binarny zostanie uruchomiony tylko wtedy, gdy sprawdzenie zakończy się pomyślnie.
Tryb działania Złodzieja Kukułki
Szkodnik ustanawia trwałość poprzez LaunchAgent, metodę stosowaną wcześniej przez inne rodziny złośliwego oprogramowania, takie jak RustBucket, XLoader, JaskaGO i backdoor dla systemu macOS podobny do ZuRu.
Podobnie jak złośliwe oprogramowanie MacStealer dla systemu macOS, Cuckoo wykorzystuje również osascript do wyświetlania monitu o fałszywe hasło, nakłaniając użytkowników do wprowadzenia haseł systemowych w celu eskalacji uprawnień.
Według badaczy szkodliwe oprogramowanie skanuje w poszukiwaniu określonych plików powiązanych z konkretnymi aplikacjami, próbując zebrać obszerne informacje o systemie. Wykonuje różne polecenia w celu wyodrębnienia szczegółów sprzętu, przechwytywania uruchomionych procesów, wysyłania zapytań do zainstalowanych aplikacji, robienia zrzutów ekranu i zbierania danych z pęku kluczy iCloud, Apple Notes, przeglądarek internetowych, portfeli kryptograficznych i aplikacji takich jak Discord, FileZilla, Steam i Telegram.
Ujawnienie jest następstwem niedawnego ujawnienia przez firmę zarządzającą urządzeniami Apple innego szkodliwego oprogramowania kradnącego o nazwie CloudChat, udającego aplikację do przesyłania wiadomości skupiającą się na prywatności, zdolną do narażania użytkowników systemu macOS poza Chinami.
CloudChat działa poprzez przechwytywanie prywatnych kluczy kryptograficznych ze schowka i danych z rozszerzeń portfela w przeglądarce Google Chrome.
Dodatkowo odkryto nowy wariant dobrze znanego szkodliwego oprogramowania AdLoad napisanego w Go, nazwany Rload (lub Lador). Został stworzony, aby ominąć listę sygnatur złośliwego oprogramowania XProtect firmy Apple i skompilowany wyłącznie dla architektury Intel x86_64.
