Utilisateurs de Mac Intel et ARM : Le logiciel espion Cuckoo peut nuire à votre PC

Le web regorge de logiciels espions se faisant passer pour des applications légitimes et précieuses.

Kandji, une plateforme de gestion et de sécurité des appareils Apple, a identifié un nouveau logiciel espion devenu voleur d’informations qui cible à la fois les Mac Intel et ARM.

Ils ont codé nommé le logiciel espion « Cuckoo » parce qu’il infecte le système hôte et vole ses ressources, tout comme l’oiseau.

Table des matières

• Quel est le déguisement du logiciel espion Cuckoo ? - Cuckoo veut tout savoir

Quel est le déguisement du logiciel espion Cuckoo ?

Cuckoo se déguise en binaire Mach-o, un format exécutable conçu pour les systèmes Apple.

Les chercheurs de Kandji ont commencé avec un fichier nommé DumpMediaSpotifyMusicConverter, également appelé « upd » téléchargé sur Virus Total.

Il suit et enregistre les données du trousseau iCloud, des Notes Apple, des navigateurs web et des portefeuilles crypto.

Même des applications comme Discord, FileZilla, Steam et Telegram sont dans sa ligne de mire. Les chercheurs de Kandji notent que le logiciel espion coupe le son du système pour capturer des captures d’écran.

Il lance également l’application pour couvrir ses traces et agir comme si rien ne s’était passé.

En cherchant sur le web, ils ont découvert qu’il était hébergé sur un site web qui proposait des applications pour convertir de la musique de services de streaming en MP3.

Les sites suspects offrent des versions gratuites et payantes d’applications pour extraire de la musique de services de streaming et pour la récupération sur iOS et Android. Voici quelques-uns d’entre eux :

• dumpmedia[.]com

• Tunesolo[.]com

• Fonedog[.]com

• Tunesfun[.]com

• Tunefab[.]com

Tous les bundles d’applications sur ces sites ont un ID de développeur de Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Les bundles d’applications sur Fonedog ont un ID différent : FoneDog Technology Limited (CUAU2GTG98).

Après avoir téléchargé une application Spotify vers mp3, ils ont ouvert le fichier image disque et ont été surpris de trouver le même fichier « upd » avec l’application réelle.

Le binaire malveillant ne s’est pas exécuté car Gatekeeper l’a bloqué. Après avoir accordé une autorisation manuelle, l’application a vérifié la locale pour déterminer le pays de l’utilisateur.

Étonnamment, Cuckoo ne s’exécutera pas si le système appartient à l’un des pays suivants :

• Arménie

• Biélorussie

• Kazakhstan

• Russie

• Ukraine

Cuckoo veut tout savoir

Ce logiciel espion est conçu pour capturer autant d’informations que possible et les envoyer au serveur de Commande et de contrôle.

Cuckoo peut déterminer vos informations matérielles exactes, obtenir la liste des applications installées et capturer les processus en cours d’exécution.

Chercher des outils pour extraire de l’audio ou de la vidéo d’un service de streaming vers MP3 ou un autre format souhaité est courant, et les attaquants voulaient capitaliser sur cet intérêt.

Évitez de télécharger des applications depuis des sites peu fiables pour protéger votre Mac contre des logiciels espions comme Cuckoo.