Cuckoo Stealer nimmt Mac-Systeme ins Visier

Sicherheitsforscher haben einen neuen Informationsdieb entdeckt, der es auf Apple macOS-Systeme abgesehen hat. Er ist darauf ausgelegt, sich auf betroffenen Rechnern dauerhaft einzunisten und als Spyware zu agieren. Diese Malware, die von Kandji als Cuckoo bekannt ist, ist eine universelle Mach-O-Binärdatei, die sowohl mit Intel- als auch mit Arm-basierten Macs kompatibel ist.

Die genaue Verbreitungsmethode ist weiterhin unklar, doch es gibt Hinweise darauf, dass die Binärdatei auf Websites wie dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com und tunefab[.]com gehostet wird, die angeblich verschiedene Versionen von Anwendungen zum Rippen von Musik von Streaming-Diensten in MP3 anbieten.

Beim Herunterladen der Disk-Image-Datei von diesen Sites wird eine Bash-Shell gestartet, um Hostinformationen zu sammeln und zu bestätigen, dass sich der infizierte Computer nicht in Armenien, Weißrussland, Kasachstan, Russland oder der Ukraine befindet. Die schädliche Binärdatei wird nur ausgeführt, wenn diese Überprüfung erfolgreich ist.

Funktionsweise von Cuckoo Stealer

Die Malware stellt ihre Persistenz über einen LaunchAgent her, eine Methode, die zuvor von anderen Malware-Familien wie RustBucket, XLoader, JaskaGO und einer macOS-Hintertür ähnlich ZuRu verwendet wurde.

Ähnlich wie die macOS-Malware MacStealer verwendet auch Cuckoo Osascript, um eine gefälschte Kennwortabfrage anzuzeigen und Benutzer dazu zu verleiten, ihre Systemkennwörter einzugeben, um ihre Rechte zu erhöhen.

Laut den Forschern sucht die Malware nach bestimmten Dateien, die mit bestimmten Anwendungen verknüpft sind, um umfassende Systeminformationen zu sammeln. Sie führt verschiedene Befehle aus, um Hardwaredetails zu extrahieren, laufende Prozesse zu erfassen, installierte Anwendungen abzufragen, Screenshots zu erstellen und Daten aus iCloud Keychain, Apple Notes, Webbrowsern, Krypto-Wallets und Apps wie Discord, FileZilla, Steam und Telegram zu sammeln.

Die Offenlegung folgt auf die jüngste Aufdeckung einer anderen Stealer-Malware namens CloudChat durch ein Apple-Geräteverwaltungsunternehmen, die sich als auf Datenschutz ausgerichtete Messaging-App ausgibt und in der Lage ist, macOS-Benutzer außerhalb Chinas zu kompromittieren.

CloudChat funktioniert, indem es private Kryptoschlüssel aus der Zwischenablage und Daten aus Wallet-Erweiterungen von Google Chrome erfasst.

Darüber hinaus wurde eine neue Variante der bekannten, in Go geschriebenen AdLoad-Malware namens Rload (oder Lador) entdeckt. Sie ist darauf ausgelegt, Apples XProtect-Malware-Signaturliste zu umgehen und wurde ausschließlich für die Intel x86_64-Architektur kompiliert.