Cuckoo Stealer 瞄準 Mac 系統
安全研究人員發現了一種針對 Apple macOS 系統的新資訊竊賊,旨在在受影響的電腦上建立持久性並作為間諜軟體運行。該惡意軟體被 Kandji 稱為 Cuckoo,是一種通用的 Mach-O 二進位文件,與基於 Intel 和 Arm 的 Mac 相容。
確切的分發方法仍不清楚,但有證據表明該二進位檔案託管在dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和unefab[.]com 等網站上,這些網站聲稱提供各種版本的應用程序,用於將音樂從串流媒體服務翻錄為 MP3。
從這些網站下載磁碟映像檔後,會啟動 bash shell 來收集主機資訊並確認受感染的電腦不在亞美尼亞、白俄羅斯、哈薩克、俄羅斯或烏克蘭,只有在檢查成功時才會執行惡意二進位檔案。
Cuckoo Stealer 操作模式
該惡意軟體透過 LaunchAgent 建立持久性,這是其他惡意軟體系列(例如 RustBucket、XLoader、JaskaGO 和類似於 ZuRu 的 macOS 後門)之前使用的方法。
與 MacStealer macOS 惡意軟體類似,Cuckoo 也使用 osascript 呈現虛假密碼提示,誘騙使用者輸入系統密碼以實現權限升級。
研究人員表示,該惡意軟體會掃描與特定應用程式連結的特定文件,試圖收集大量系統資訊。它執行各種命令來提取硬體詳細資訊、捕獲正在運行的進程、查詢已安裝的應用程式、截取螢幕截圖以及從iCloud 鑰匙串、Apple Notes、Web 瀏覽器、加密錢包以及Discord、FileZilla、Steam 和Telegram等應用程式收集資料。
在此之前,一家蘋果設備管理公司最近曝光了另一種名為 CloudChat 的竊取惡意軟體,該惡意軟體偽裝成一款注重隱私的訊息應用程序,能夠危害中國境外的 macOS 用戶。
CloudChat 透過從剪貼簿取得加密私鑰和 Google Chrome 上的錢包擴充功能中的資料來進行操作。
此外,還發現了用 Go 編寫的著名 AdLoad 惡意軟體的新變種,名為 Rload(或 Lador)。它旨在規避 Apple 的 XProtect 惡意軟體簽名列表,並專門針對 Intel x86_64 架構進行編譯。