„Cuckoo” atakujące komputery Intel i Arm Mac
Odkryto nowego złodziejaszka informacji w cyberbezpieczeństwie, który celuje w systemy Apple macOS i został zaprojektowany, aby zadomowić się na zainfekowanych hostach i działać jako szpiegowskie oprogramowanie.
Zwany Kukułką przez Kandji, malware jest uniwersalnym plikiem binarnym Mach-O, który może działać zarówno na komputerach Mac z procesorami Intel i Arm.
Dokładny wektor dystrybucji jest obecnie niejasny, chociaż istnieją wskazówki, że binarny jest hostowany na stronach takich jak dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com i tunefab[.]com, które twierdzą, że oferują darmowe i płatne wersje aplikacji dedykowanych do ripowania muzyki ze strumieniowych serwisów i konwertowania jej do formatu MP3.
Plik obrazu dysku pobrany ze stron jest odpowiedzialny za uruchomienie powłoki bash w celu zebrania informacji o hoście i upewnienia się, że skompromitowany komputer nie znajduje się w Armenii, Białorusi, Kazachstanie, Rosji lub na Ukrainie. Złośliwy binarny plik jest wykonywany tylko wtedy, gdy sprawdzanie lokalizacji jest udane.
Malware ustanawia także trwałość za pomocą LaunchAgent, techniki wcześniej przyjętej przez różne rodziny złośliwego oprogramowania, takie jak RustBucket, XLoader, JaskaGO, oraz backdoor macOS, który ma pewne podobieństwa z ZuRu. Cuckoo, podobnie jak złośliwe oprogramowanie MacStealer, wykorzystuje osascript do wyświetlenia fałszywego okna dialogowego z prośbą o hasło w celu oszukania użytkowników i zdobycia dostępu do ich systemowych haseł.
„Ten malware wyszukuje określone pliki związane z określonymi aplikacjami, aby zdobyć jak najwięcej informacji z systemu” – powiedzieli badacze Adam Kohler i Christopher Lopez.
Jest wyposażony w zestaw poleceń do wyodrębniania informacji o sprzęcie, przechwytywania aktualnie uruchomionych procesów, wyszukiwania zainstalowanych aplikacji, robienia zrzutów ekranu oraz zbierania danych z iCloud Keychain, Apple Notes, przeglądarek internetowych, portfeli kryptowalutowych i aplikacji takich jak Discord, FileZilla, Steam i Telegram.
„Każda złośliwa aplikacja zawiera kolejny pakiet aplikacji w katalogu zasobów” – powiedzieli badacze. „Wszystkie te pakiety (oprócz tych hostowanych na fonedog[.]com) są podpisane i mają prawidłowy identyfikator dewelopera Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).”
„Strona fonedog[.]com hostowała narzędzie do odzyskiwania danych z systemu Android; dodatkowy pakiet aplikacji w tej jednej ma identyfikator dewelopera FoneDog Technology Limited (CUAU2GTG98).”
Ujawnienie nastąpiło niemal miesiąc po tym, jak firma zarządzająca urządzeniami Apple ujawniła innego złodzieja oprogramowania, o kryptonimie CloudChat, który podszywa się pod aplikację do prywatnej komunikacji i jest zdolny do kompromitowania użytkowników macOS, których adresy IP nie geolokalizują się w Chinach.
Malware działa przez przechwycenie prywatnych kluczy kryptograficznych skopiowanych do schowka oraz danych związanych z rozszerzeniami portfela zainstalowanymi w przeglądarce Google Chrome.
Odkryto również nowy wariant znanego szkodliwego oprogramowania AdLoad napisanego w Go, nazwany Rload (znany także jako Lador), który został zaprojektowany w celu uniknięcia listy sygnatur złośliwego oprogramowania Apple XProtect i jest skompilowany wyłącznie dla architektury Intel x86_64.
„Binaria pełnią rolę początkowych spuszczających następną ładunki” – powiedział badacz bezpieczeństwa Phil Stokes z SentinelOne w zeszłym tygodniu, dodając, że konkretne metody dystrybucji pozostają obecnie niejasne.
AdLoad, szeroko rozpowszechniona kampania adware, która dotyka macOS co najmniej od 2017 roku, jest znana z przejmowania wyników wyszukiwania w wyszukiwarkach internetowych i wstrzykiwania reklam na strony internetowe w celu osiągnięcia zysków poprzez środek przekazu wrogich struktur, aby przekierować ruch internetowy użytkownika przez infrastrukturę atakującego.
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.