Исследователи кибербезопасности обнаружили новое средство для кражи информации, нацеленное на системы Apple macOS, которое предназначено для сохранения на зараженных хостах и действует как шпионское ПО.
Получившее название Cuckoo от Kandji, вредоносное ПО представляет собой универсальный двоичный файл Mach-O, который может работать как на компьютерах Mac на базе Intel, так и на компьютерах Arm.
Точный вектор распространения в настоящее время неясен, хотя есть указания на то, что бинарный файл размещен на таких сайтах, как dumpmedia [.]com, tunesolo [.]com, fonedog [.]com, tunesfun [.]com и tunefab [.] com, которые утверждают, что предлагают бесплатные и платные версии приложений, предназначенных для копирования музыки из потоковых сервисов и преобразования ее в формат MP3.
Файл образа диска, загруженный с веб-сайтов, отвечает за запуск оболочки bash для сбора информации о хостинге и гарантии того, что скомпрометированный компьютер находится не в Армении, Беларуси, Казахстане, России, Украине. Вредоносный двоичный файл запускается только в том случае, если проверка локали прошла успешно.
Оно также обеспечивает сохранение с помощью LaunchAgent, метода, ранее применявшегося различными семействами вредоносных программ, такими как RustBucket, XLoader, JaskaGO, и macOS backdoor, который частично совпадает с ZuRu.
Cuckoo, как и вредоносная программа macOS stealer от Macosstealer, также использует osascript для отображения запроса поддельного пароля, чтобы обманом заставить пользователей вводить свои системные пароли для повышения привилегий.
"Это вредоносное ПО запрашивает определенные файлы, связанные с определенными приложениями, в попытке собрать как можно больше информации из системы", - сказали исследователи Адам Колер и Кристофер Лопес.
Оно способно запускать ряд команд для извлечения информации об оборудовании, захвата текущих процессов, запроса установленных приложений, создания скриншотов и сбора данных из iCloud Keychain, Apple Notes, веб-браузеров, криптокошельков и таких приложений, как Discord, FileZilla, Steam и Telegram.
"Каждое вредоносное приложение содержит другой пакет приложений в каталоге ресурсов", - сказали исследователи. "Все эти пакеты (за исключением размещенных на fonedog [.] com) подписаны и имеют действительный идентификатор разработчика Yian Technology Shenzhen Co., Ltd. (VRBJ4VRP)".
"На веб-сайте fonedog [.] com, помимо прочего, размещено средство восстановления Android; дополнительный пакет приложений в этом пакете имеет идентификатор разработчика FoneDog Technology Limited (CUAU2GTG98) ".
Раскрытие произошло почти через месяц после того, как компания Apple по управлению устройствами также обнаружила другое вредоносное ПО stealer под кодовым названием CloudChat, которое маскируется под приложение для обмена сообщениями, ориентированное на конфиденциальность, и способно компрометировать пользователей macOS, чьи IP-адреса не привязаны к Китаю.
Вредоносное ПО работает путем захвата секретных ключей шифрования, скопированных в буфер обмена, и данных, связанных с расширениями кошелька, установленными в Google Chrome.
Это также следует за обнаружением нового варианта печально известного вредоносного ПО AdLoad, написанного на Go под названием Rload (он же Lador), который разработан для обхода списка сигнатур вредоносных программ Apple XProtect и скомпилирован исключительно для архитектуры Intel x86_64.
"Двоичные файлы функционируют как начальные дропперы для полезной нагрузки следующего этапа", - сказал исследователь безопасности SentinelOne Фил Стоукс в отчете на прошлой неделе, добавив, что конкретные методы распространения в настоящее время остаются неясными.
Тем не менее, было замечено, что эти программы-дропперы обычно встроены во взломанные или троянские приложения, распространяемые вредоносными веб-сайтами.
AdLoad, широко распространенная рекламная кампания, поражающая macOS по крайней мере с 2017 года, известна тем, что перехватывает результаты поисковой системы и внедряет рекламу на веб-страницы с целью получения денежной выгоды с помощью промежуточного веб-прокси для перенаправления веб-трафика пользователя через собственную инфраструктуру злоумышленника.
Получившее название Cuckoo от Kandji, вредоносное ПО представляет собой универсальный двоичный файл Mach-O, который может работать как на компьютерах Mac на базе Intel, так и на компьютерах Arm.
Точный вектор распространения в настоящее время неясен, хотя есть указания на то, что бинарный файл размещен на таких сайтах, как dumpmedia [.]com, tunesolo [.]com, fonedog [.]com, tunesfun [.]com и tunefab [.] com, которые утверждают, что предлагают бесплатные и платные версии приложений, предназначенных для копирования музыки из потоковых сервисов и преобразования ее в формат MP3.
Файл образа диска, загруженный с веб-сайтов, отвечает за запуск оболочки bash для сбора информации о хостинге и гарантии того, что скомпрометированный компьютер находится не в Армении, Беларуси, Казахстане, России, Украине. Вредоносный двоичный файл запускается только в том случае, если проверка локали прошла успешно.
Оно также обеспечивает сохранение с помощью LaunchAgent, метода, ранее применявшегося различными семействами вредоносных программ, такими как RustBucket, XLoader, JaskaGO, и macOS backdoor, который частично совпадает с ZuRu.
Cuckoo, как и вредоносная программа macOS stealer от Macosstealer, также использует osascript для отображения запроса поддельного пароля, чтобы обманом заставить пользователей вводить свои системные пароли для повышения привилегий.
"Это вредоносное ПО запрашивает определенные файлы, связанные с определенными приложениями, в попытке собрать как можно больше информации из системы", - сказали исследователи Адам Колер и Кристофер Лопес.
Оно способно запускать ряд команд для извлечения информации об оборудовании, захвата текущих процессов, запроса установленных приложений, создания скриншотов и сбора данных из iCloud Keychain, Apple Notes, веб-браузеров, криптокошельков и таких приложений, как Discord, FileZilla, Steam и Telegram.
"Каждое вредоносное приложение содержит другой пакет приложений в каталоге ресурсов", - сказали исследователи. "Все эти пакеты (за исключением размещенных на fonedog [.] com) подписаны и имеют действительный идентификатор разработчика Yian Technology Shenzhen Co., Ltd. (VRBJ4VRP)".
"На веб-сайте fonedog [.] com, помимо прочего, размещено средство восстановления Android; дополнительный пакет приложений в этом пакете имеет идентификатор разработчика FoneDog Technology Limited (CUAU2GTG98) ".
Раскрытие произошло почти через месяц после того, как компания Apple по управлению устройствами также обнаружила другое вредоносное ПО stealer под кодовым названием CloudChat, которое маскируется под приложение для обмена сообщениями, ориентированное на конфиденциальность, и способно компрометировать пользователей macOS, чьи IP-адреса не привязаны к Китаю.
Вредоносное ПО работает путем захвата секретных ключей шифрования, скопированных в буфер обмена, и данных, связанных с расширениями кошелька, установленными в Google Chrome.
Это также следует за обнаружением нового варианта печально известного вредоносного ПО AdLoad, написанного на Go под названием Rload (он же Lador), который разработан для обхода списка сигнатур вредоносных программ Apple XProtect и скомпилирован исключительно для архитектуры Intel x86_64.
"Двоичные файлы функционируют как начальные дропперы для полезной нагрузки следующего этапа", - сказал исследователь безопасности SentinelOne Фил Стоукс в отчете на прошлой неделе, добавив, что конкретные методы распространения в настоящее время остаются неясными.
Тем не менее, было замечено, что эти программы-дропперы обычно встроены во взломанные или троянские приложения, распространяемые вредоносными веб-сайтами.
AdLoad, широко распространенная рекламная кампания, поражающая macOS по крайней мере с 2017 года, известна тем, что перехватывает результаты поисковой системы и внедряет рекламу на веб-страницы с целью получения денежной выгоды с помощью промежуточного веб-прокси для перенаправления веб-трафика пользователя через собственную инфраструктуру злоумышленника.
