Cuckoo Stealer tar sikte på Mac Systems

Sikkerhetsforskere har oppdaget en fersk informasjonstyv rettet mot Apples macOS-systemer, designet for å etablere utholdenhet på berørte maskiner og fungere som spionprogramvare. Denne skadevare, kjent som Cuckoo av Kandji, er en universell Mach-O-binær som er kompatibel med både Intel- og Arm-baserte Mac-er.

Den nøyaktige distribusjonsmetoden er fortsatt uklar, selv om bevis tyder på at binærfilen er vert på nettsteder som dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com og tunefab[.]com, som hevder å tilby ulike versjoner av applikasjoner for å rippe musikk fra strømmetjenester til MP3.

Når du laster ned diskbildefilen fra disse nettstedene, lanseres et bash-skall for å samle vertsinformasjon og bekrefte at den kompromitterte maskinen ikke er i Armenia, Hviterussland, Kasakhstan, Russland eller Ukraina, med den ondsinnede binære filen som kun utføres hvis denne sjekken er vellykket.

Cuckoo Stealer Driftsmodus

Skadevaren etablerer utholdenhet gjennom en LaunchAgent, en metode som tidligere ble brukt av andre skadevarefamilier som RustBucket, XLoader, JaskaGO og en macOS-bakdør som ligner på ZuRu.

I likhet med MacStealer macOS malware, bruker Cuckoo også osascript for å presentere en falsk passordforespørsel, som lurer brukere til å skrive inn systempassordene sine for å øke rettighetene.

Ifølge forskere søker skadelig programvare etter spesifikke filer knyttet til bestemte applikasjoner i et forsøk på å samle omfattende systeminformasjon. Den utfører ulike kommandoer for å trekke ut maskinvaredetaljer, fange opp kjørende prosesser, spørre etter installerte applikasjoner, ta skjermbilder og samle data fra iCloud Keychain, Apple Notes, nettlesere, kryptolommebøker og apper som Discord, FileZilla, Steam og Telegram.

Avsløringen følger den nylige eksponeringen av et Apple-enhetsadministrasjonsselskap for en annen tyverisk skadelig programvare kalt CloudChat, og poserer som en personvernfokusert meldingsapp som er i stand til å kompromittere macOS-brukere utenfor Kina.

CloudChat opererer ved å beslaglegge private kryptonøkler fra utklippstavlen og data fra lommebokutvidelser på Google Chrome.

I tillegg har en ny variant av den velkjente AdLoad malware skrevet i Go, kalt Rload (eller Lador), blitt oppdaget. Den er laget for å unngå Apples XProtect-skadevaresignaturliste og kompilert eksklusivt for Intel x86_64-arkitektur.