Pesquisadores de segurança cibernética descobriram um novo ladrão de informações direcionado para sistemas Apple macOS que é projetado para estabelecer persistência nos hosts infectados e atuar como um spyware.
Denominado Cuckoo pela Kandji, o malware é um binário Mach-O universal que é capaz de ser executado em Macs com base em Intel e Arm.
O vetor de distribuição exato ainda não está claro, embora haja indicações de que o binário esteja hospedado em sites como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com e tunefab[.]com, que afirmam oferecer versões gratuitas e pagas de aplicativos dedicados a raspar músicas de serviços de streaming e convertê-las para o formato MP3.
O arquivo de imagem de disco baixado dos sites é responsável por gerar um shell bash para coletar informações do host e garantir que a máquina comprometida não esteja localizada na Armênia, Bielorrússia, Cazaquistão, Rússia ou Ucrânia. O binário malicioso é executado somente se a verificação de localidade for bem-sucedida.
Também estabelece persistência por meio de um LaunchAgent, uma técnica anteriormente adotada por diferentes famílias de malware como RustBucket, XLoader, JaskaGO e um backdoor do macOS que compartilha semelhanças com ZuRu.
Cuckoo, assim como o malware ladrão de macOS MacStealer, também usa osascript para exibir um prompt de senha falso e enganar os usuários a inserir as senhas do sistema para escalonamento de privilégios.
“Este malware faz consultas a arquivos específicos associados a aplicativos específicos, na tentativa de reunir o máximo de informações possível do sistema,” disseram os pesquisadores Adam Kohler e Christopher Lopez.
Ele está equipado para executar uma série de comandos para extrair informações de hardware, capturar processos em execução, pesquisar por aplicativos instalados, tirar capturas de tela e coletar dados do iCloud Keychain, Apple Notes, navegadores da web, carteiras de criptomoedas e aplicativos como Discord, FileZilla, Steam e Telegram.
“Cada aplicativo malicioso contém outro pacote de aplicativo no diretório de recursos,” disseram os pesquisadores. “Todos esses pacotes (exceto os hospedados em fonedog[.]com) são assinados e têm um ID de desenvolvedor válido da Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).”
O website fonedog[.]com hospedava uma ferramenta de recuperação do Android, entre outras coisas; o pacote de aplicativos adicional neste tem um ID de desenvolvedor da FoneDog Technology Limited (CUAU2GTG98).
A divulgação vem cerca de um mês depois que a empresa de gerenciamento de dispositivos Apple também expôs outro malware ladrão chamado CloudChat, que se passa por um aplicativo de mensagens orientado para a privacidade e é capaz de comprometer usuários de macOS cujos endereços IP não estão localizados na China.
O malware funciona pegando chaves privadas de criptomoedas copiadas para a área de transferência e dados associados a extensões de carteiras instaladas no Google Chrome.
Também segue a descoberta de uma nova variante do notório malware AdLoad escrito em Go chamado Rload (também conhecido como Lador) que é projetado para evitar a lista de assinaturas de malware XProtect da Apple e é compilado exclusivamente para a arquitetura Intel x86_64.
Os binários funcionam como inicializadores para a próxima carga útil da etapa inicial,” disse o pesquisador de segurança da SentinelOne, Phil Stokes, em um relatório na semana passada, acrescentando que os métodos específicos de distribuição ainda estão presentemente obscuros.
No entanto, esses inicializadores foram observados tipicamente incorporados em aplicativos rachados ou trojanizados distribuídos por sites maliciosos.
AdLoad, uma campanha amplamente difundida de adware que afeta o macOS desde pelo menos 2017, é conhecida por sequestrar resultados de mecanismos de busca e injetar anúncios em páginas da web para obter ganhos monetários por meio de um proxy web do adversário no meio para redirecionar o tráfego da web do usuário através da própria infraestrutura do atacante.
Atualização: Mais artefatos do Cuckoo foram detectados
A empresa de segurança cibernética SentinelOne, em uma nova análise, disse ter observado um aumento nas amostras do Cuckoo e aplicativos trojanizados entregando o malware baseado em C++ desde o surgimento no final do mês passado.
“Os aplicativos trojanizados são vários tipos de ‘programas potencialmente indesejados’ que oferecem serviços duvidosos como conversores de PDF ou música, limpadores e desinstaladores,” disse o pesquisador de segurança Phil Stokes. “A versão mais recente do XProtect, versão 2194, não bloqueia a execução do malware Cuckoo Stealer.”
O roubo de senhas de administrador de usuários do macOS em texto simples por meio de um diálogo é um estratagema que está em voga desde pelo menos 2008, quando um trojan chamado PokerStealer foi descoberto na natureza, acrescentou a SentinelOne.
