Voleur de coucou
Les chercheurs en cybersécurité ont découvert une nouvelle menace ciblant les systèmes Apple macOS, conçue pour établir un accès persistant sur des hôtes compromis et fonctionner comme un logiciel espion. Nommé Cuckoo, ce malware est un binaire Mach-O universel capable de fonctionner à la fois sur les Mac Intel et Arm.
La méthode spécifique de distribution reste incertaine. Cependant, certains signes indiquent que le binaire est hébergé sur plusieurs sites Web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com et tunefab.com) prétendant fournir des applications gratuites et payantes pour extraire et convertir de la musique à partir de services de streaming. au format MP3.
Table des matières
Le voleur de coucou établit la persistance sur le Mac infecté
Le fichier image disque obtenu à partir de ces sites Web lance un shell bash pour collecter les détails de l'hôte. Cela garantit que la machine compromise ne se trouve pas en Arménie, en Biélorussie, au Kazakhstan, en Russie ou en Ukraine. Le binaire frauduleux ne s'exécute que si la vérification des paramètres régionaux réussit.
De plus, il établit la persistance à l'aide d'un LaunchAgent, une méthode précédemment utilisée par diverses familles de logiciels malveillants telles que RustBucket , XLoader , JaskaGO , et une porte dérobée macOS qui partage des similitudes avec ZuRu .
Semblable au malware MacStealer macOS, Cuckoo utilise osascript pour présenter une fausse invite de mot de passe, trompant les utilisateurs en les incitant à saisir leurs mots de passe système pour une élévation de privilèges. Ce malware recherche également des fichiers spécifiques liés à des applications particulières dans le but de collecter des informations système détaillées.
Le voleur de coucou compromet les informations sensibles provenant des appareils piratés
Le logiciel malveillant Cuckoo est conçu pour exécuter une séquence de commandes visant à extraire des détails sur le matériel, à capturer des processus actifs, à interroger les applications installées, à prendre des captures d'écran et à collecter des données à partir de diverses sources, notamment le trousseau iCloud, Apple Notes, les navigateurs Web, les portefeuilles cryptographiques et spécifiques. des applications comme Discord, FileZilla, Steam et Telegram.
Chaque application menaçante inclut un ensemble d'applications intégré dans son répertoire de ressources. La plupart de ces offres groupées, à l'exception de celles de fonedog.com, sont signées et portent un identifiant de développeur valide attribué à Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Notamment, fonedog.com héberge un outil de récupération Android ainsi que d'autres offres, et son ensemble d'applications supplémentaires comprend un identifiant de développeur de FoneDog Technology Limited (CUAU2GTG98).
Les appareils Mac sont devenus une cible fréquente d'attaques de logiciels malveillants
Les cybercriminels ont déployé des outils malveillants destinés aux appareils Mac, l'un des exemples les plus frappants étant la famille de logiciels malveillants AdLoad . Récemment, des chercheurs en sécurité de l'information ont sonné l'alarme concernant une nouvelle variante de ce malware notoire appelée Rload (également connu sous le nom de Lador), écrite dans le langage de programmation Go. Rload est conçu pour contourner la liste de signatures de logiciels malveillants XProtect d'Apple et est compilé spécifiquement pour l'architecture Intel x86_64.
Ces binaires agissent comme des droppers initiaux pour les étapes de charge utile ultérieures. Actuellement, les méthodes exactes de distribution restent floues. Cependant, ces compte-gouttes se trouvent généralement intégrés dans des applications piratées ou trojanisées distribuées via des sites Web malveillants.
AdLoad, une campagne publicitaire affectant macOS depuis au moins 2017, est connue pour détourner les résultats des moteurs de recherche et injecter des publicités dans des pages Web. Ceci est accompli grâce à une configuration de proxy Web de l'homme du milieu, redirigeant le trafic Web des utilisateurs via l'infrastructure de l'attaquant pour un gain financier.
