Cuckoo Stealer vise les systèmes Mac

Les chercheurs en sécurité ont détecté un nouveau voleur d'informations destiné aux systèmes Apple macOS, conçu pour établir la persistance sur les machines affectées et fonctionner comme un logiciel espion. Connu sous le nom de Cuckoo par Kandji, ce malware est un binaire Mach-O universel compatible avec les Mac Intel et Arm.

La méthode précise de distribution reste floue, bien que des preuves suggèrent que le binaire est hébergé sur des sites Web comme dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com et tunefab[.]com, qui prétendent proposer différentes versions d’applications permettant d’extraire de la musique des services de streaming vers MP3.

Lors du téléchargement du fichier image disque à partir de ces sites, un shell bash est lancé pour recueillir des informations sur l'hôte et confirmer que la machine compromise ne se trouve pas en Arménie, en Biélorussie, au Kazakhstan, en Russie ou en Ukraine, le binaire malveillant ne s'exécutant que si cette vérification réussit.

Mode de fonctionnement du voleur de coucou

Le malware établit la persistance via un LaunchAgent, une méthode précédemment utilisée par d'autres familles de malwares comme RustBucket, XLoader, JaskaGO et une porte dérobée macOS similaire à ZuRu.

Semblable au malware MacStealer macOS, Cuckoo utilise également osascript pour présenter une fausse invite de mot de passe, incitant les utilisateurs à saisir leurs mots de passe système pour une élévation de privilèges.

Selon les chercheurs, le malware recherche des fichiers spécifiques liés à des applications particulières dans le but de collecter des informations système détaillées. Il exécute diverses commandes pour extraire les détails du matériel, capturer les processus en cours, interroger les applications installées, prendre des captures d'écran et collecter des données à partir du trousseau iCloud, d'Apple Notes, des navigateurs Web, des portefeuilles cryptographiques et des applications comme Discord, FileZilla, Steam et Telegram.

Cette divulgation fait suite à la récente exposition par une société de gestion d'appareils Apple d'un autre malware voleur appelé CloudChat, se faisant passer pour une application de messagerie axée sur la confidentialité, capable de compromettre les utilisateurs de macOS en dehors de la Chine.

CloudChat fonctionne en saisissant les clés privées cryptographiques du presse-papiers et les données des extensions de portefeuille sur Google Chrome.

De plus, une nouvelle variante du malware AdLoad bien connu écrit en Go, nommé Rload (ou Lador), a été découverte. Il est conçu pour échapper à la liste de signatures de logiciels malveillants XProtect d'Apple et compilé exclusivement pour l'architecture Intel x86_64.