インテルおよびARM Macユーザー：CuckooスパイウェアがPCに害を及ぼす可能性があります

ウェブには、正当で価値のあるアプリケーションを装ったスパイウェアが溢れています。

Appleデバイス管理およびセキュリティプラットフォームのKandjiは、インテルおよびARM Macの両方をターゲットにした新しいスパイウェア兼情報窃盗ツールを特定しました。

彼らはこのスパイウェアを「Cuckoo」と名付けました。これは、ホストシステムに感染し、そのリソースを盗む様子が鳥のようだからです。

Cuckooスパイウェアの偽装とは？

Cuckooは、Appleシステム用に設計された実行可能形式であるMach-oバイナリとして自らを偽装します。

Kandjiの研究者は、Virus TotalにアップロードされたDumpMediaSpotifyMusicConverterという名前のファイルから始めました。これは「upd」とも呼ばれています。

iCloudキーチェーン、Appleノート、ウェブブラウザ、暗号通貨ウォレットからデータを追跡し記録します。

Discord、FileZilla、Steam、Telegramのようなアプリもターゲットです。Kandjiの研究者は、スパイウェアがスクリーンショットをキャプチャするためにシステム音をミュートすることに注意しています。

また、アプリを起動して痕跡を隠し、何も起こらなかったかのように振る舞います。

ウェブを検索したところ、ストリーミングサービスから音楽をMP3に変換するアプリを提供するウェブサイトにホストされていることがわかりました。

疑わしいウェブサイトは、ストリーミングサービスから音楽をリッピングするアプリケーションの無料版と有料版を提供しています。以下はその一部です：

これらのサイトのすべてのアプリバンドルには、Yian Technology Shenzhen Co., Ltd (VRBJ4VRP)の開発者IDがあります。Fonedogのアプリバンドルには異なるID：FoneDog Technology Limited (CUAU2GTG98)があります。

Spotifyからmp3アプリケーションをダウンロードした後、ディスクイメージファイルを開くと、実際のアプリと一緒に同じ「upd」ファイルが見つかり、驚きました。

悪意のあるバイナリはGatekeeperによってブロックされたため実行されませんでした。手動で許可を与えた後、アプリはロケールを確認してユーザーの国を特定しました。

驚くべきことに、Cuckooは次の国のいずれかにシステムが属している場合、実行されません：

このスパイウェアは、可能な限り多くの情報をキャプチャし、コマンドおよび制御サーバーに送信するように設計されています。

Cuckooは、正確なハードウェア情報を特定し、インストールされたアプリのリストを取得し、現在実行中のプロセスをキャプチャできます。

ストリーミングサービスから音声や動画をMP3や他の希望する形式に抽出するツールを探すことは一般的であり、攻撃者はこの関心を利用したいと考えました。

CuckooのようなスパイウェアからMacを保護するために、信頼できないサイトからアプリをダウンロードしないようにしましょう。