Cuckoo恶意软件以macOS用户为目标,窃取密码、浏览历史记录、加密钱包详细信息等。它伪装成音乐转换器,带来了重大的安全风险。了解如何保护自己免受这个复杂的信息窃取者的侵害。
Mac安全提供商Kandji的网络安全研究人员发现了一种针对macOS用户的名为“Cuckoo”的新恶意软件。该恶意软件伪装成Spotify等音乐转换器应用程序,可以在基于Intel和ARM的Apple Mac电脑上运行。
研究人员于2024年4月24日发现了一个恶意的Mach-O二进制文件,该二进制文件表现出间谍软件和信息窃取行为。它的检查发现了一个名为“DumpMedia Spotify Music Converter”的文件,这是基于Intel或ARM的Mac计算机上的通用二进制文件。
从dumpmediacom下载Spotify版本时检测到该恶意软件。然后在其他网站上发现它有免费和付费版本。
Kandji研究人员在博客文章中透露:“到目前为止,我们发现unesolocom、fonedogcom、tunesfuncom、tunefabcom网站正在托管包含相同恶意软件的恶意应用程序。”
Cuckoo声称可以将Spotify音乐转换为MP3格式,从而欺骗用户。安装后,它就会开始窃取数据,目标是macOS钥匙串、视觉证据、浏览历史记录、消息应用程序数据、加密货币钱包详细信息和身份验证凭据。
它通过请求用户打开应用程序来自行安装,无需经过审查的签名或开发人员ID。它检查用户的位置并收集主机硬件信息。如果用户接受进一步的提示,则可以访问Finder、麦克风和下载。
Cuckoo针对macOS的钥匙串(密码、登录凭据和加密密钥的存储库),从而危及在线帐户和敏感数据访问。
它窃取屏幕截图和网络摄像头快照,并针对WhatsApp和Telegram等消息应用程序,泄露用户的在线活动,并对数字资产所有者构成重大财务威胁。
研究人员发现Cuckoo将与Safari、Notes和Keychain相关的文件复制到临时位置,并创建感兴趣文件的路径。它每60秒运行一次启动代理以保持在计算机上的持久性。
该活动并未明确归因于任何特定的威胁行为者,但研究人员指出,它保护了亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯和乌克兰的设备。
此外,它还通过LaunchAgent建立持久性,这是RustBucket、XLoader、JaskaGO中的一个功能,以及与中国威胁行为者ZuRu相关的后门。该恶意软件使用合法的中国开发者ID(易安科技深圳有限公司(VRBJ4VRP))进行签名,所有捆绑包(除了fonedogcom上托管的捆绑包)均已签名。
为了保护自己免受Cuckoo和其他恶意软件威胁,请谨慎下载软件,避免不受信任的来源,仔细检查电子邮件和附件,并使用可靠的防病毒和反恶意软件解决方案。保持警惕和怀疑对于数字隐私和安全至关重要。
评论已关闭。