Cuckoo Stealer tager sigte på Mac Systems
Sikkerhedsforskere har opdaget en ny informationstyv rettet mod Apples macOS-systemer, designet til at etablere persistens på berørte maskiner og fungere som spyware. Kendt som Cuckoo af Kandji, denne malware er en universel Mach-O binær kompatibel med både Intel- og Arm-baserede Macs.
Den præcise distributionsmetode forbliver uklar, selvom beviser tyder på, at binæren er hostet på websteder som dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com og tunefab[.]com, som hævder at tilbyde forskellige versioner af applikationer til at rippe musik fra streamingtjenester til MP3.
Efter at have downloadet diskimage-filen fra disse websteder, lanceres en bash-shell for at indsamle værtsinformation og bekræfte, at den kompromitterede maskine ikke er i Armenien, Hviderusland, Kasakhstan, Rusland eller Ukraine, hvor den ondsindede binære fil kun udføres, hvis denne kontrol er vellykket.
Cuckoo Stealer Funktionsmåde
Malwaren etablerer persistens gennem en LaunchAgent, en metode, der tidligere blev brugt af andre malware-familier som RustBucket, XLoader, JaskaGO og en macOS-bagdør svarende til ZuRu.
I lighed med MacStealer macOS-malwaren bruger Cuckoo også osascript til at præsentere en falsk adgangskodeprompt, der narre brugere til at indtaste deres systemadgangskoder for at eskalere privilegier.
Ifølge forskere scanner malwaren efter specifikke filer knyttet til bestemte applikationer i et forsøg på at indsamle omfattende systemoplysninger. Den udfører forskellige kommandoer for at udtrække hardwaredetaljer, fange kørende processer, forespørge om installerede applikationer, tage skærmbilleder og indsamle data fra iCloud-nøglering, Apple Notes, webbrowsere, kryptotegnebøger og apps som Discord, FileZilla, Steam og Telegram.
Afsløringen følger den nylige eksponering af et Apple-enhedsadministrationsfirma for en anden tyverisk malware kaldet CloudChat, der poserer som en privatlivsfokuseret beskedapp, der er i stand til at kompromittere macOS-brugere uden for Kina.
CloudChat fungerer ved at beslaglægge private kryptonøgler fra udklipsholderen og data fra tegnebogsudvidelser på Google Chrome.
Derudover er en ny variant af den velkendte AdLoad malware skrevet i Go, kaldet Rload (eller Lador), blevet opdaget. Den er lavet til at omgå Apples XProtect-malware-signaturliste og kompileret udelukkende til Intel x86_64-arkitektur.
