Cuckoo Stealer 瞄准 Mac 系统

安全研究人员发现了一种针对 Apple macOS 系统的新信息窃取程序，该程序旨在在受感染的机器上建立持久性并作为间谍软件运行。这种恶意软件被 Kandji 称为 Cuckoo，是一种通用 Mach-O 二进制文件，与基于 Intel 和 Arm 的 Mac 兼容。

尽管有证据表明该二进制文件托管在 dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和 tunefab[.]com 等网站上，这些网站声称提供各种版本的应用程序，用于将流媒体服务中的音乐翻录为 MP3，但确切的分发方法仍不清楚。

从这些网站下载磁盘映像文件后，会启动 bash shell 来收集主机信息并确认受感染的机器不在亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯或乌克兰，只有此检查成功，恶意二进制文件才会执行。

布谷鸟窃贼的操作模式

该恶意软件通过 LaunchAgent 建立持久性，这种方法以前被其他恶意软件家族（如 RustBucket、XLoader、JaskaGO 和类似于 ZuRu 的 macOS 后门）使用过。

与 MacStealer macOS 恶意软件类似，Cuckoo 也使用 osascript 呈现虚假的密码提示，诱骗用户输入系统密码来提升权限。

据研究人员称，该恶意软件会扫描与特定应用程序相关的特定文件，以试图收集大量系统信息。它会执行各种命令来提取硬件详细信息、捕获正在运行的进程、查询已安装的应用程序、截取屏幕截图以及从 iCloud Keychain、Apple Notes、网络浏览器、加密钱包以及 Discord、FileZilla、Steam 和 Telegram 等应用程序收集数据。

此前，一家 Apple 设备管理公司曝光了另一种名为 CloudChat 的窃取恶意软件，该恶意软件伪装成一款专注于隐私的消息应用程序，能够危害中国境外的 macOS 用户。

CloudChat 通过从剪贴板中获取加密私钥和从 Google Chrome 上的钱包扩展程序中获取数据来运行。

此外，还发现了用 Go 编写的著名 AdLoad 恶意软件的新变种，名为 Rload（或 Lador）。它旨在逃避 Apple 的 XProtect 恶意软件签名列表，并专门针对 Intel x86_64 架构进行编译。