カッコウ泥棒

サイバーセキュリティ研究者は、Apple macOS システムを標的とする新たな脅威を発見しました。この脅威は、侵入したホストに永続的なアクセスを確立し、スパイウェアとして動作するように設計されています。Cuckoo と名付けられたこのマルウェアは、Intel ベースと Arm ベースの両方の Mac で実行できるユニバーサル Mach-O バイナリです。

配布の具体的な方法は不明ですが、ストリーミング サービスから音楽をリッピングして MP3 形式に変換する無料および有料のアプリケーションを提供すると称する複数の Web サイト (dumpmedia.com、tunesolo.com、fonedog.com、tunesfun.com、tunefab.com) でバイナリがホストされている形跡があります。

Cuckoo Stealer は感染した Mac 上で永続性を確立します

これらの Web サイトから取得されたディスク イメージ ファイルは、ホストの詳細情報を収集するために bash シェルを起動します。これにより、侵害されたマシンがアルメニア、ベラルーシ、カザフスタン、ロシア、ウクライナに存在しないことが保証されます。不正なバイナリは、ロケール チェックが成功した場合にのみ実行されます。

さらに、このマルウェアは、 RustBucket 、 XLodaer 、 JaskaGO 、 ZuRuと類似点を持つ macOS バックドアなど、さまざまなマルウェア ファミリで以前に使用された方法である LaunchAgent を使用して永続性を確立します。

MacStealer macOS マルウェアと同様に、Cuckoo は osascript を使用して偽のパスワード プロンプトを表示し、ユーザーを騙してシステム パスワードを入力させ、権限を昇格させます。このマルウェアは、特定のアプリケーションにリンクされた特定のファイルをスキャンして、広範なシステム情報を収集します。

Cuckoo Stealer は侵入されたデバイスから機密情報を盗み出す

Cuckoo マルウェアは、ハードウェアの詳細を抽出し、アクティブなプロセスをキャプチャし、インストールされているアプリケーションを照会し、スクリーンショットを撮り、iCloud キーチェーン、Apple Notes、Web ブラウザー、暗号通貨ウォレット、Discord、FileZilla、Steam、Telegram などの特定のアプリケーションを含むさまざまなソースからデータを収集することを目的とした一連のコマンドを実行するように設計されています。

各脅威アプリケーションには、リソース ディレクトリ内にアプリケーション バンドルが埋め込まれています。これらのバンドルのほとんどは、fonedog.com のバンドルを除き、署名されており、Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) に帰属する有効な開発者 ID を持っています。特に、fonedog.com は他の製品とともに Android リカバリ ツールをホストしており、追加のアプリケーション バンドルには FoneDog Technology Limited (CUAU2GTG98) の開発者 ID が含まれています。

Macデバイスはマルウェア攻撃の頻繁な標的となっている

サイバー犯罪者は Mac デバイスを狙ったマルウェア ツールを展開しており、その代表的な例がAdLoadマルウェア ファミリーです。最近、情報セキュリティ研究者は、Go プログラミング言語で書かれた Rload (別名 Lador) と呼ばれるこの悪名高いマルウェアの新しい亜種について警鐘を鳴らしています。RloadはApple の XProtect マルウェア シグネチャ リストを回避するように設計されており、Intel x86_64 アーキテクチャ専用にコンパイルされています。

これらのバイナリは、後続のペイロード ステージの最初のドロッパーとして機能します。現在、正確な配布方法は不明です。ただし、これらのドロッパーは通常、悪意のある Web サイトを通じて配布されるクラックされたアプリケーションやトロイの木馬化されたアプリケーションに埋め込まれています。

AdLoad は、少なくとも 2017 年から macOS に影響を与えているアドウェア キャンペーンで、検索エンジンの結果を乗っ取り、Web ページに広告を挿入することで悪名高いものです。これは中間者 Web プロキシ設定によって実行され、金銭的利益を得るためにユーザーの Web トラフィックを攻撃者のインフラストラクチャにリダイレクトします。