Cuckoo Stealer prende di mira i sistemi Mac

I ricercatori di sicurezza hanno rilevato un nuovo ladro di informazioni mirato ai sistemi macOS di Apple, progettato per stabilire la persistenza sulle macchine interessate e funzionare come spyware. Conosciuto come Cuckoo da Kandji, questo malware è un binario Mach-O universale compatibile con i Mac basati su Intel e Arm.

Il metodo preciso di distribuzione rimane poco chiaro, anche se le prove suggeriscono che il binario è ospitato su siti Web come dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com e tunefab[.]com, che affermano di offrire varie versioni di applicazioni per copiare musica dai servizi di streaming in MP3.

Dopo aver scaricato il file immagine del disco da questi siti, viene avviata una shell bash per raccogliere informazioni sull'host e confermare che la macchina compromessa non si trova in Armenia, Bielorussia, Kazakistan, Russia o Ucraina, con il file binario dannoso che viene eseguito solo se questo controllo ha esito positivo.

Modalità operativa del ladro di cuculi

Il malware stabilisce la persistenza tramite un LaunchAgent, un metodo precedentemente utilizzato da altre famiglie di malware come RustBucket, XLoader, JaskaGO e una backdoor macOS simile a ZuRu.

Similmente al malware MacStealer per macOS, anche Cuckoo utilizza osascript per presentare una richiesta di password falsa, inducendo gli utenti a inserire le password di sistema per l'escalation dei privilegi.

Secondo i ricercatori, il malware esegue la scansione di file specifici collegati a particolari applicazioni nel tentativo di raccogliere ampie informazioni sul sistema. Esegue vari comandi per estrarre dettagli hardware, acquisire processi in esecuzione, interrogare le applicazioni installate, acquisire screenshot e raccogliere dati da portachiavi iCloud, Apple Notes, browser Web, portafogli crittografici e app come Discord, FileZilla, Steam e Telegram.

La divulgazione fa seguito alla recente esposizione da parte di una società di gestione dei dispositivi Apple di un altro malware ladro chiamato CloudChat, che si presenta come un’app di messaggistica incentrata sulla privacy in grado di compromettere gli utenti macOS al di fuori della Cina.

CloudChat funziona sequestrando le chiavi private crittografiche dagli appunti e i dati dalle estensioni del portafoglio su Google Chrome.

Inoltre è stata scoperta una nuova variante del noto malware AdLoad scritto in Go, denominata Rload (o Lador). È realizzato per eludere l'elenco delle firme malware XProtect di Apple e compilato esclusivamente per l'architettura Intel x86_64.