Cuckoo Stealer mira em sistemas Mac
Pesquisadores de segurança detectaram um novo ladrão de informações direcionado aos sistemas Apple macOS, projetado para estabelecer persistência nas máquinas afetadas e operar como spyware. Conhecido como Cuckoo por Kandji, esse malware é um binário Mach-O universal compatível com Macs baseados em Intel e Arm.
O método preciso de distribuição permanece obscuro, embora as evidências sugiram que o binário está hospedado em sites como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com e tunefab[.]com, que afirmam oferecer várias versões de aplicativos para copiar músicas de serviços de streaming para MP3.
Ao baixar o arquivo de imagem de disco desses sites, um shell bash é iniciado para coletar informações do host e confirmar que a máquina comprometida não está na Armênia, Bielo-Rússia, Cazaquistão, Rússia ou Ucrânia, com o binário malicioso sendo executado apenas se a verificação for bem-sucedida.
Modo de operação Cuckoo Stealer
O malware estabelece persistência por meio de um LaunchAgent, um método usado anteriormente por outras famílias de malware como RustBucket, XLoader, JaskaGO e um backdoor macOS semelhante ao ZuRu.
Semelhante ao malware MacStealer macOS, o Cuckoo também usa osascript para apresentar uma solicitação de senha falsa, enganando os usuários para que insiram as senhas do sistema para aumento de privilégios.
Segundo os pesquisadores, o malware procura arquivos específicos vinculados a aplicativos específicos na tentativa de coletar informações extensas do sistema. Ele executa vários comandos para extrair detalhes de hardware, capturar processos em execução, consultar aplicativos instalados, fazer capturas de tela e coletar dados do iCloud Keychain, Apple Notes, navegadores da web, carteiras criptografadas e aplicativos como Discord, FileZilla, Steam e Telegram.
A divulgação segue a recente exposição por uma empresa de gerenciamento de dispositivos da Apple de outro malware ladrão chamado CloudChat, que se apresenta como um aplicativo de mensagens com foco na privacidade, capaz de comprometer usuários do macOS fora da China.
O CloudChat opera capturando chaves criptográficas privadas da área de transferência e dados de extensões de carteira no Google Chrome.
Além disso, foi descoberta uma nova variante do conhecido malware AdLoad escrito em Go, chamado Rload (ou Lador). Ele foi criado para escapar da lista de assinaturas de malware XProtect da Apple e compilado exclusivamente para a arquitetura Intel x86_64.