Kuckucksdieb

Cybersicherheitsforscher haben eine neue Bedrohung entdeckt, die auf Apple macOS-Systeme abzielt. Sie soll dauerhaften Zugriff auf kompromittierte Hosts erlangen und als Spyware agieren. Diese Malware mit dem Namen Cuckoo ist eine universelle Mach-O-Binärdatei, die sowohl auf Intel- als auch auf Arm-basierten Macs ausgeführt werden kann.

Die genaue Verbreitungsmethode bleibt unklar. Es gibt jedoch Anzeichen dafür, dass die Binärdatei auf mehreren Websites (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com und tunefab.com) gehostet wird, die angeblich kostenlose und kostenpflichtige Anwendungen zum Rippen von Musik von Streaming-Diensten und zum Konvertieren in das MP3-Format anbieten.

Der Cuckoo Stealer bleibt auf dem infizierten Mac präsent

Die von diesen Websites erhaltene Disk-Image-Datei initiiert eine Bash-Shell, um Hostdetails zu sammeln. Sie stellt sicher, dass sich die kompromittierte Maschine nicht in Armenien, Weißrussland, Kasachstan, Russland oder der Ukraine befindet. Die betrügerische Binärdatei wird nur ausgeführt, wenn die Gebietsschemaprüfung erfolgreich ist.

Darüber hinaus wird die Persistenz mithilfe eines LaunchAgent hergestellt, einer Methode, die zuvor von verschiedenen Malware-Familien wie RustBucket , XLoader , JaskaGO und einer macOS-Hintertür verwendet wurde, die Ähnlichkeiten mit ZuRu aufweist.

Ähnlich wie die MacStealer-Malware für macOS verwendet Cuckoo Osascript, um eine gefälschte Passwortabfrage anzuzeigen und Benutzer dazu zu verleiten, ihre Systempasswörter einzugeben, um ihre Rechte zu erhöhen. Diese Malware sucht auch nach bestimmten Dateien, die mit bestimmten Anwendungen verknüpft sind, um umfassende Systeminformationen zu sammeln.

Der Cuckoo Stealer gefährdet vertrauliche Informationen von gehackten Geräten

Die Cuckoo-Malware ist darauf ausgelegt, eine Reihe von Befehlen auszuführen, die darauf abzielen, Hardwaredetails zu extrahieren, aktive Prozesse zu erfassen, installierte Anwendungen abzufragen, Screenshots zu erstellen und Daten aus verschiedenen Quellen zu sammeln, darunter iCloud Keychain, Apple Notes, Webbrowser, Krypto-Wallets und bestimmte Anwendungen wie Discord, FileZilla, Steam und Telegram.

Jede bedrohliche Anwendung enthält ein eingebettetes Anwendungspaket in ihrem Ressourcenverzeichnis. Die meisten dieser Pakete, mit Ausnahme der Pakete von fonedog.com, sind signiert und tragen eine gültige Entwickler-ID, die Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) zugeschrieben wird. Insbesondere hostete fonedog.com neben anderen Angeboten ein Android-Wiederherstellungstool und sein zusätzliches Anwendungspaket verfügt über eine Entwickler-ID von FoneDog Technology Limited (CUAU2GTG98).

Mac-Geräte sind häufig Ziel von Malware-Angriffen geworden

Cyberkriminelle haben Malware-Tools auf Mac-Geräte abzielend eingesetzt. Ein prominentes Beispiel ist die Malware-Familie AdLoad . Kürzlich haben Sicherheitsforscher Alarm geschlagen, weil es eine neue Variante dieser berüchtigten Malware namens Rload (auch bekannt als Lador) gibt, die in der Programmiersprache Go geschrieben ist. Rload wurde entwickelt, um Apples XProtect-Malware-Signaturliste zu umgehen, und ist speziell für die Intel x86_64-Architektur kompiliert.

Diese Binärdateien fungieren als erste Dropper für nachfolgende Payload-Phasen. Die genauen Verbreitungsmethoden sind derzeit noch unklar. Allerdings sind diese Dropper normalerweise eingebettet in gecrackte oder mit Trojanern infizierte Anwendungen, die über bösartige Websites verbreitet werden.

AdLoad, eine Adware-Kampagne, die macOS seit mindestens 2017 betrifft, ist dafür berüchtigt, Suchmaschinenergebnisse zu kapern und Werbung in Webseiten einzuschleusen. Dies wird durch ein Man-in-the-Middle-Webproxy-Setup erreicht, das den Webverkehr des Benutzers aus finanziellen Gründen durch die Infrastruktur des Angreifers umleitet.