Похититель кукушки нацелился на Mac Systems

Исследователи безопасности обнаружили новый похититель информации, нацеленный на системы Apple macOS, предназначенный для обеспечения персистентности на зараженных машинах и действующий как шпионское ПО. Это вредоносное ПО, известное Канджи как Cuckoo, представляет собой универсальный двоичный файл Mach-O, совместимый с компьютерами Mac на базе Intel и Arm.

Точный метод распространения остается неясным, хотя данные свидетельствуют о том, что двоичный файл размещен на таких веб-сайтах, как dumpmedia[.]com, Tunesolo[.]com, fonedog[.]com, Tunesfun[.]com и Tunefab[.]com, которые утверждают, что предлагают различные версии приложений для копирования музыки из потоковых сервисов в MP3.

После загрузки файла образа диска с этих сайтов запускается оболочка bash для сбора информации о хосте и подтверждения того, что скомпрометированная машина не находится в Армении, Беларуси, Казахстане, России или Украине, при этом вредоносный двоичный файл запускается только в случае успеха этой проверки.

Режим работы кукушки-похитителя

Вредоносная программа обеспечивает постоянство с помощью LaunchAgent — метода, ранее использовавшегося другими семействами вредоносных программ, такими как RustBucket, XLoader, JaskaGO, а также бэкдором для macOS, похожим на ZuRu.

Подобно вредоносному ПО MacStealer для macOS, Cuckoo также использует osascript для отображения поддельного пароля, заставляя пользователей вводить свои системные пароли для повышения привилегий.

По мнению исследователей, вредоносное ПО сканирует определенные файлы, связанные с конкретными приложениями, в попытке собрать обширную системную информацию. Он выполняет различные команды для извлечения сведений об оборудовании, захвата запущенных процессов, запроса установленных приложений, создания снимков экрана и сбора данных из iCloud Keychain, Apple Notes, веб-браузеров, криптокошельков и таких приложений, как Discord, FileZilla, Steam и Telegram.

Раскрытие информации последовало за недавним раскрытием компанией Apple по управлению устройствами другого вредоносного ПО-вора под названием CloudChat, выдающего себя за приложение для обмена сообщениями, ориентированное на конфиденциальность, способное поставить под угрозу пользователей macOS за пределами Китая.

CloudChat работает, извлекая криптографические секретные ключи из буфера обмена и данные из расширений кошелька в Google Chrome.

Кроме того, был обнаружен новый вариант известной вредоносной программы AdLoad, написанной на Go, под названием Rload (или Lador). Он создан для обхода списка сигнатур вредоносных программ Apple XProtect и скомпилирован исключительно для архитектуры Intel x86_64.