Nieuwe 'Cuckoo'-aanhoudende macOS-spyware gericht op Intel en Arm Macs

Cybersecurity-onderzoekers hebben een nieuwe informatiedief ontdekt die zich richt op Apple macOS-systemen en die is ontworpen om persistentie op de geïnfecteerde hosts op te zetten en als spyware te fungeren.

Nagesynchroniseerd Koekoek door Kandji is de malware een universeel Mach-O binair bestand dat zowel op Intel- als Arm-gebaseerde Macs kan draaien.

De exacte distributievector is momenteel onduidelijk, hoewel er aanwijzingen zijn dat het binaire bestand wordt gehost op sites als dumpmedia(.)com, tunesolo(.)com, fonedog(.)com, tunesfun(.)com en tunefab(.)com die beweren gratis en betaalde versies aan te bieden van applicaties die zijn bedoeld voor het rippen van muziek van streamingdiensten en het converteren ervan naar het mp3-formaat.

Het schijfkopiebestand dat van de websites wordt gedownload, is verantwoordelijk voor het genereren van een bash-shell om hostinformatie te verzamelen en ervoor te zorgen dat de gecompromitteerde machine zich niet in Armenië, Wit-Rusland, Kazachstan, Rusland en Oekraïne bevindt. Het kwaadaardige binaire bestand wordt alleen uitgevoerd als de landinstellingscontrole succesvol is.

Het zorgt ook voor persistentie door middel van een LaunchAgent, een techniek die eerder werd toegepast door verschillende malwarefamilies zoals RustBucket, XLoader, JaskaGO en een macOS-achterdeur die overlappingen deelt met ZuRu.

Cuckoo maakt, net als de MacStealer macOS stealer-malware, ook gebruik van osascript om een ​​valse wachtwoordprompt weer te geven om gebruikers te misleiden hun systeemwachtwoorden in te voeren voor escalatie van bevoegdheden.

“Deze malware zoekt naar specifieke bestanden die aan specifieke applicaties zijn gekoppeld, in een poging zoveel mogelijk informatie uit het systeem te verzamelen”, aldus onderzoekers Adam Kohler en Christopher Lopez.

Het is uitgerust om een ​​reeks opdrachten uit te voeren om hardware-informatie te extraheren, momenteel actieve processen vast te leggen, te zoeken naar geïnstalleerde apps, schermafbeeldingen te maken en gegevens te verzamelen van iCloud-sleutelhanger, Apple Notes, webbrowsers, crypto-wallets en apps zoals Discord, FileZilla, Steam en Telegram.

“Elke kwaadaardige applicatie bevat een andere applicatiebundel binnen de bronmap”, aldus de onderzoekers. “Al deze bundels (behalve die gehost op fonedog(.)com) zijn ondertekend en hebben een geldige ontwikkelaars-ID van Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).”

“De website fonedog(.)com hostte onder andere een Android-hersteltool; de extra applicatiebundel in deze heeft een ontwikkelaars-ID van FoneDog Technology Limited (CUAU2GTG98).”

De onthulling komt bijna een maand nadat het apparaatbeheerbedrijf van Apple ook een andere stealer-malware met de codenaam CloudChat heeft blootgelegd, die zich voordoet als een op privacy gerichte berichten-app en in staat is macOS-gebruikers in gevaar te brengen wier IP-adressen niet naar China geolokaliseren.

De malware werkt door crypto-privésleutels te bemachtigen die naar het klembord zijn gekopieerd en gegevens die zijn gekoppeld aan portemonnee-extensies die in Google Chrome zijn geïnstalleerd.

Het volgt ook op de ontdekking van een nieuwe variant van de beruchte AdLoad-malware geschreven in Go, genaamd Rload (ook bekend als Lador), die is ontworpen om de lijst met Apple XProtect-malwaresignaturen te omzeilen en uitsluitend is samengesteld voor de Intel x86_64-architectuur.

“De binaire bestanden fungeren als initiële droppers voor de volgende fase”, zei beveiligingsonderzoeker Phil Stokes van SentinelOne vorige week in een rapport, eraan toevoegend dat de specifieke distributiemethoden momenteel onduidelijk blijven.

Dat gezegd hebbende, zijn deze droppers doorgaans ingebed in gekraakte of door trojans beheerde apps die door kwaadwillende websites worden verspreid.

AdLoad, een wijdverbreide adware-campagne waar macOS al sinds 2017 last van heeft, staat bekend om het kapen van zoekresultaten van zoekmachines en het injecteren van advertenties in webpagina's voor geldelijk gewin door middel van een 'adversary-in-the-middle'-webproxy om het webverkeer van de gebruiker om te leiden via de kanalen van de aanvaller. eigen infrastructuur.

Thijs Van der Does