Cuckoo Stealer 瞄准 Mac 系统
安全研究人员发现了一种针对 Apple macOS 系统的新信息窃取程序,该程序旨在在受感染的机器上建立持久性并作为间谍软件运行。这种恶意软件被 Kandji 称为 Cuckoo,是一种通用 Mach-O 二进制文件,与基于 Intel 和 Arm 的 Mac 兼容。
尽管有证据表明该二进制文件托管在 dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和 tunefab[.]com 等网站上,这些网站声称提供各种版本的应用程序,用于将流媒体服务中的音乐翻录为 MP3,但确切的分发方法仍不清楚。
从这些网站下载磁盘映像文件后,会启动 bash shell 来收集主机信息并确认受感染的机器不在亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯或乌克兰,只有此检查成功,恶意二进制文件才会执行。
布谷鸟窃贼的操作模式
该恶意软件通过 LaunchAgent 建立持久性,这种方法以前被其他恶意软件家族(如 RustBucket、XLoader、JaskaGO 和类似于 ZuRu 的 macOS 后门)使用过。
与 MacStealer macOS 恶意软件类似,Cuckoo 也使用 osascript 呈现虚假的密码提示,诱骗用户输入系统密码来提升权限。
据研究人员称,该恶意软件会扫描与特定应用程序相关的特定文件,以试图收集大量系统信息。它会执行各种命令来提取硬件详细信息、捕获正在运行的进程、查询已安装的应用程序、截取屏幕截图以及从 iCloud Keychain、Apple Notes、网络浏览器、加密钱包以及 Discord、FileZilla、Steam 和 Telegram 等应用程序收集数据。
此前,一家 Apple 设备管理公司曝光了另一种名为 CloudChat 的窃取恶意软件,该恶意软件伪装成一款专注于隐私的消息应用程序,能够危害中国境外的 macOS 用户。
CloudChat 通过从剪贴板中获取加密私钥和从 Google Chrome 上的钱包扩展程序中获取数据来运行。
此外,还发现了用 Go 编写的著名 AdLoad 恶意软件的新变种,名为 Rload(或 Lador)。它旨在逃避 Apple 的 XProtect 恶意软件签名列表,并专门针对 Intel x86_64 架构进行编译。