Pesquisadores de cibersegurança descobriram um novo roubador de informações visando sistemas da Apple macOS que foi projetado para estabelecer persistência nas máquinas infectadas e agir como um spyware.
Batizado de Cuckoo pela Kandji, o malware é um binário Mach-O universal capaz de ser executado tanto em Macs com processadores Intel quanto com processadores Arm.
O vetor exato de distribuição ainda não está claro, embora haja indicações de que o binário esteja hospedado em sites como dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com e tunefab[.]com, que afirmam oferecer versões gratuitas e pagas de aplicativos dedicados a extrair música de serviços de streaming e convertê-la para o formato MP3.
O arquivo de imagem de disco baixado dos sites é responsável por iniciar um shell bash para reunir informações do host e garantir que a máquina comprometida não esteja localizada na Armênia, Bielorrússia, Cazaquistão, Rússia, Ucrânia. O binário malicioso é executado apenas se a verificação de localização for bem-sucedida.
Também estabelece a persistência por meio de um LaunchAgent, técnica anteriormente adotada por diferentes famílias de malware como RustBucket, XLoader, JaskaGO e um backdoor do macOS que compartilha semelhanças com o ZuRu.
O Cuckoo, assim como o MacStealer macOS stealer malware, também aproveita o osascript para exibir uma falsa solicitação de senha para enganar os usuários a inserir suas senhas do sistema para a escalada de privilégios.
“Este malware consulta arquivos específicos associados a aplicativos específicos, na tentativa de reunir o máximo de informações possível do sistema”, disseram os pesquisadores Adam Kohler e Christopher Lopez.
Ele é projetado para executar uma série de comandos para extrair informações de hardware, capturar processos em execução, consultar aplicativos instalados, tirar capturas de tela e coletar dados do iCloud Keychain, das Notas da Apple, dos navegadores da web, carteiras de criptomoedas e aplicativos como Discord, FileZilla, Steam e Telegram.
“Cada aplicativo malicioso contém outro pacote de aplicativo dentro do diretório de recursos”, disseram os pesquisadores. “Todos esses pacotes (exceto os hospedados em fonedog[.]com) são assinados e têm um ID de Desenvolvedor válido da Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).”
O site fonedog[.]com hospedava uma ferramenta de recuperação Android entre outras coisas; o pacote de aplicativos adicional neste tem um ID de Desenvolvedor da FoneDog Technology Limited (CUAU2GTG98).
A divulgação ocorre quase um mês após a empresa de gerenciamento de dispositivos da Apple expor outro malware roubador, denominado CloudChat, que se passa por um aplicativo de mensagens orientado para a privacidade e é capaz de comprometer usuários do macOS cujos endereços IP não estão geolocalizados na China.
O malware funciona capturando chaves privadas de criptomoedas copiadas para a área de transferência e dados associados a extensões de carteira instaladas no Google Chrome.
Tudo isso vem após a descoberta de uma nova variante do notório malware AdLoad escrito em Go chamado Rload (também conhecido como Lador) que é projetado para evitar a lista de assinaturas de malware XProtect da Apple e é compilado exclusivamente para a arquitetura Intel x86_64.
Os binários funcionam como inicializadores para a próxima carga maliciosa, disse o pesquisador de segurança da SentinelOne, Phil Stokes, em um relatório na semana passada, acrescentando que os métodos de distribuição específicos ainda são obscuros atualmente.
No entanto, esses inicializadores geralmente estão embutidos em aplicativos rachados ou trojanizados distribuídos por sites maliciosos.
AdLoad, uma campanha difundida de adware que afeta o macOS desde pelo menos 2017, é conhecida por sequestrar resultados de mecanismos de busca e injetar anúncios em páginas da web para obter lucro monetário por meio de um proxy da web adversário no meio para redirecionar o tráfego web do usuário por meio da infraestrutura do atacante.
Atualização: Mais Artefatos Cuckoo Detectados
A empresa de cibersegurança SentinelOne, em nova análise, disse que observou um aumento nas amostras de Cuckoo e aplicativos trojanizados entregando o malware baseado em C++ desde sua aparição no final do mês passado.
“Os aplicativos trojanizados são vários tipos de ‘programas potencialmente indesejados’ que oferecem serviços duvidosos, como conversores de PDF ou de música, limpadores e desinstaladores”, disse o pesquisador de segurança Phil Stokes. “A versão mais recente do XProtect, a versão 2194, não bloqueia a execução do malware Cuckoo Stealer.”
O roubo de senhas de administrador dos usuários de macOS em texto simples por meio de um diálogo é uma artimanha que está na moda desde pelo menos 2008, quando um trojan chamado PokerStealer foi descoberto na natureza, acrescentou a SentinelOne.
Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdo exclusivo que publicamos.
