Investigadores de ciberseguridad descubrieron un nuevo software malicioso que apunta a los sistemas de Apple macOS con el propósito de robar información y actuar como spyware, estableciendo persistencia en los hosts infectados.
El software malicioso, conocido como Cuckoo por Kandji, es un binario Mach-O universal que funciona en Macs con Intel y en los basados en Arm. Aunque no se conoce el vector de distribución exacto, se sospecha que el binario se aloja en sitios como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com y tunefab[.]com. Estos sitios afirman ofrecer versiones gratuitas y de pago de aplicaciones para descargar música de servicios de streaming y convertirla al formato MP3.
El archivo de imagen de disco descargado de estos sitios web genera un shell bash para recopilar información del host y asegurarse de que la máquina comprometida no se encuentre en ciertos países. El binario malicioso se ejecuta después de completar exitosamente la comprobación de la configuración regional.
Para establecer persistencia, el malware utiliza un LaunchAgent, una táctica utilizada por diferentes familias de malware como RustBucket, XLoader, JaskaGO y un backdoor macOS similar a ZuRu.
Al igual que el malware roba información MacStealer para macOS, Cuckoo emplea osascript para mostrar un falso cuadro de diálogo de contraseña y obtener las contraseñas del sistema para la escalada de privilegios.
El software está diseñado para ejecutar varios comandos para extraer información del hardware, capturar procesos en ejecución, buscar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de iCloud Keychain, Notas de Apple, navegadores web, billeteras criptográficas y aplicaciones como Discord, FileZilla, Steam y Telegram.
También se ha observado que cada aplicación maliciosa contiene un paquete de aplicaciones dentro del directorio de recursos. Además, todos los paquetes (excepto los alojados en fonedog[.]com) están firmados y tienen un ID de desarrollador válido de Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).
El hallazgo de Cuckoo se produce casi un mes después de la exposición de otro malware roba información llamado CloudChat, que se hace pasar por una aplicación de mensajería orientada a la privacidad. Este malware puede comprometer a usuarios de macOS cuyas direcciones IP no se geolocalizan en China.
Además, se ha descubierto una nueva variante del conocido malware AdLoad, llamada Rload (también conocida como Lador), diseñada para evadir la lista de firmas de malware Apple XProtect y compilada exclusivamente para la arquitectura Intel x86_64.
A pesar de que los métodos de distribución específicos siguen siendo oscuros, se ha observado que estos lanzadores se incrustan comúnmente en aplicaciones crackeadas o troyanizadas distribuidas por sitios web maliciosos.
El investigador de seguridad de SentinelOne, Phil Stokes, informó que AdLoad funciona como un lanzador inicial para la carga útil de la siguiente etapa y que se sabe que afecta a macOS desde al menos 2017. Este malware es conocido por secuestrar los resultados de los motores de búsqueda e inyectar anuncios en páginas web con fines de lucro mediante un proxy web de ataque para redirigir el tráfico web de los usuarios a través de la propia infraestructura del atacante.
Vía The Hacker News
