Pesquisadores de cibersegurança descobriram um novo "information stealer" voltado para sistemas Apple macOS, projetado para estabelecer persistência nos hosts infectados e atuar como um spyware.
Batizado de Cuckoo pela Kandji, o malware é um binário Mach-O universal, capaz de rodar tanto em Macs baseados em Intel quanto em ARM.
Atualmente, o vetor exato de distribuição é incerto, embora haja indícios de que o binário esteja hospedado em sites como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com e tunefab[.]com, que afirmam oferecer versões gratuitas e pagas de aplicativos dedicados a extrair músicas de serviços de streaming e convertê-las para o formato MP3.
O arquivo de imagem de disco baixado dos websites é responsável por gerar um shell bash para coletar informações do host e garantir que a máquina comprometida não esteja localizada na Armênia, Bielorrússia, Cazaquistão, Rússia, Ucrânia.
O binário malicioso é executado apenas se a verificação de localidade for bem-sucedida.
Ele também estabelece persistência por meio de um LaunchAgent, técnica previamente adotada por diferentes famílias de malware como RustBucket, XLoader, JaskaGO e um backdoor para macOS que compartilha semelhanças com o ZuRu.
Cuckoo, assim como o malware MacStealer voltado para furto de informações no macOS, também utiliza osascript para exibir um prompt de senha falso, enganando os usuários a inserirem suas senhas do sistema para escalada de privilégio.
"Este malware faz consultas por arquivos específicos associados a aplicações específicas, tentando coletar o máximo de informações possível do sistema", disseram os pesquisadores Adam Kohler e Christopher Lopez.
Está equipado para executar uma série de comandos para extrair informações de hardware, capturar processos em execução, consultar aplicativos instalados, tirar screenshots e coletar dados do iCloud Keychain, Apple Notes, navegadores web, carteiras de criptomoedas e aplicativos como Discord, FileZilla, Steam e Telegram.
"Cada aplicativo malicioso contém outro pacote de aplicativos dentro do diretório de recursos", disseram os pesquisadores.
Todos esses pacotes (exceto aqueles hospedados em fonedog[.]com) são assinados e têm um ID de Desenvolvedor válido da Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).
O site fonedog[.]com hospedou, entre outras coisas, uma ferramenta de recuperação para Android; o pacote de aplicativos adicional neste tem um ID de desenvolvedor da FoneDog Technology Limited (CUAU2GTG98).
A divulgação ocorre quase um mês depois que a empresa de gerenciamento de dispositivos Apple também expôs outro malware "stealer" codinomeado CloudChat, que se disfarça como um aplicativo de mensagens orientado para privacidade e é capaz de comprometer usuários do macOS cujos endereços IP não se geolocalizam na China.
O malware funciona capturando chaves privadas de cripto copiadas para a área de transferência e dados associados a extensões de carteira instaladas no Google Chrome.
Isso também segue a descoberta de uma nova variante do notório malware AdLoad escrito em Go chamado Rload (também conhecido como Lador) que é projetado para evitar a lista de assinaturas de malware Apple XProtect e é compilado exclusivamente para a arquitetura Intel x86_64.
"Os binários funcionam como droppers iniciais para o payload da próxima etapa", disse o pesquisador de segurança da SentinelOne, Phil Stokes, em um relatório na semana passada, acrescentando que os métodos de distribuição específicos permanecem atualmente obscuros.
Dito isso, esses droppers foram observados tipicamente embutidos em aplicativos crackeados ou trojanizados distribuídos por websites maliciosos.
AdLoad, uma campanha de adware generalizada que afeta o macOS desde pelo menos 2017, é conhecido por sequestrar resultados de motores de busca e injetar anúncios em páginas da web para ganho monetário por meio de um web proxy intermediário do adversário para redirecionar o tráfego da web do usuário através da própria infraestrutura do atacante.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...