Ladrón de cucos

Los investigadores de ciberseguridad han descubierto una nueva amenaza dirigida a los sistemas Apple macOS, diseñada para establecer un acceso persistente a hosts comprometidos y operar como software espía. Llamado Cuckoo, este malware es un binario Mach-O universal capaz de ejecutarse tanto en Mac basadas en Intel como en Arm.

El método específico de distribución sigue siendo incierto. Sin embargo, hay indicios de que el binario está alojado en varios sitios web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com y tunefab.com) que pretenden proporcionar aplicaciones gratuitas y de pago para copiar música de servicios de streaming y convertirla. al formato MP3.

The Cuckoo Stealer establece persistencia en la Mac infectada

El archivo de imagen de disco obtenido de estos sitios web inicia un shell bash para recopilar detalles del host. Garantiza que la máquina comprometida no esté ubicada en Armenia, Bielorrusia, Kazajstán, Rusia o Ucrania. El binario fraudulento se ejecuta sólo si la verificación local tiene éxito.

Además, establece persistencia mediante LaunchAgent, un método utilizado anteriormente por varias familias de malware como RustBucket , XLoader , JaskaGO y una puerta trasera de macOS que comparte similitudes con ZuRu .

Al igual que el malware MacStealer para macOS, Cuckoo emplea osascript para presentar una solicitud de contraseña falsa, engañando a los usuarios para que ingresen sus contraseñas del sistema para escalar privilegios. Este malware también busca archivos específicos vinculados a aplicaciones particulares en un esfuerzo por recopilar información extensa del sistema.

El ladrón de cucos compromete información confidencial procedente de dispositivos vulnerados

Cuckoo Malware está diseñado para ejecutar una secuencia de comandos destinados a extraer detalles del hardware, capturar procesos activos, consultar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de diversas fuentes, incluidos iCloud Keychain, Apple Notes, navegadores web, billeteras criptográficas y archivos específicos. aplicaciones como Discord, FileZilla, Steam y Telegram.

Cada aplicación amenazante incluye un paquete de aplicaciones integrado dentro de su directorio de recursos. La mayoría de estos paquetes, con excepción de los de fonedog.com, están firmados y llevan una identificación de desarrollador válida atribuida a Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). En particular, fonedog.com albergaba una herramienta de recuperación de Android junto con otras ofertas, y su paquete de aplicaciones adicional incluye una identificación de desarrollador de FoneDog Technology Limited (CUAU2GTG98).

Los dispositivos Mac se han convertido en un objetivo frecuente de ataques de malware

Los ciberdelincuentes han estado implementando herramientas de malware dirigidas a dispositivos Mac, siendo un ejemplo destacado la familia de malware AdLoad . Recientemente, investigadores de seguridad de la información han dado la alarma sobre una nueva variante de este notorio malware llamado Rload (también conocido como Lador), escrito en el lenguaje de programación Go. Rload está diseñado para eludir la lista de firmas de malware XProtect de Apple y está compilado específicamente para la arquitectura Intel x86_64.

Estos binarios actúan como cuentagotas iniciales para etapas posteriores de carga útil. Actualmente, los métodos exactos de distribución siguen sin estar claros. Sin embargo, estos droppers suelen encontrarse integrados en aplicaciones crackeadas o troyanizadas distribuidas a través de sitios web maliciosos.

AdLoad, una campaña de adware que afecta a macOS desde al menos 2017, es conocida por secuestrar resultados de motores de búsqueda e inyectar anuncios en páginas web. Esto se logra mediante una configuración de proxy web de intermediario, que redirige el tráfico web del usuario a través de la infraestructura del atacante para obtener ganancias financieras.