Utenti Mac Intel e ARM: il malware Cuckoo può danneggiare il tuo PC

Il web è pieno di spyware che si spacciano per applicazioni legittime e preziose.

Kandji, una piattaforma di gestione e sicurezza dei dispositivi Apple, ha identificato un nuovo spyware-cum-infostealer che prende di mira sia i Mac Intel che quelli ARM.

Hanno soprannominato lo spyware “Cuckoo” perché infetta il sistema ospite e ruba le sue risorse, proprio come l’uccello.

Indice dei Contenuti

• Qual è il travestimento dello spyware Cuckoo? - Cuckoo vuole sapere tutto

Qual è il travestimento dello spyware Cuckoo?

Cuckoo si traveste da binario Mach-o, un formato eseguibile progettato per i sistemi Apple.

I ricercatori di Kandji hanno iniziato con un file chiamato DumpMediaSpotifyMusicConverter, noto anche come “upd”, caricato su Virus Total.

Traccia e registra i dati da iCloud Keychain, Apple Notes, browser web e portafogli crypto.

Anche app come Discord, FileZilla, Steam e Telegram sono nel suo mirino. I ricercatori di Kandji notano che lo spyware silenzia il suono di sistema per catturare screenshot.

Lancia anche l’app per coprire le proprie tracce e comportarsi come se nulla fosse successo.

Cercando su internet, hanno scoperto che era ospitato su un sito web che offriva app per convertire musica da servizi di streaming in MP3.

I siti sospetti offrono versioni gratuite e a pagamento di applicazioni per estrarre musica da servizi di streaming e per il recupero su iOS e Android. Ecco alcuni di essi:

• dumpmedia[.]com

• Tunesolo[.]com

• Fonedog[.]com

• Tunesfun[.]com

• Tunefab[.]com

Tutti i pacchetti app su questi siti hanno un ID Sviluppatore di Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). I pacchetti app su Fonedog hanno un ID diverso: FoneDog Technology Limited (CUAU2GTG98).

Dopo aver scaricato un’applicazione da Spotify a mp3, hanno aperto il file immagine del disco e sono rimasti sorpresi di trovare lo stesso file “upd” insieme all’app effettiva.

Il binario malevolo non si è avviato perché Gatekeeper lo ha bloccato. Dopo aver concesso il permesso manualmente, l’app ha controllato la località per determinare il paese dell’utente.

Sorprendentemente, Cuckoo non si avvierà se il sistema appartiene a uno dei seguenti paesi:

• Armenia

• Bielorussia

• Kazakistan

• Russia

• Ucraina

Cuckoo vuole sapere tutto

Questo spyware è progettato per catturare quante più informazioni possibile e inviarle al server di comando e controllo.

Cuckoo può determinare le informazioni hardware esatte, ottenere l’elenco delle app installate e catturare i processi attualmente in esecuzione.

Cercare strumenti per estrarre audio o video da un servizio di streaming in MP3 o in un altro formato desiderato è comune, e gli aggressori volevano capitalizzare su questo interesse.

Evita di scaricare app da siti non affidabili per proteggere il tuo Mac da spyware come Cuckoo.