인텔 및 ARM 맥 사용자: Cuckoo 스파이웨어가 당신의 PC에 해를 끼칠 수 있습니다

웹은 합법적이고 가치 있는 애플리케이션으로 가장한 스파이웨어로 가득 차 있습니다.

Kandji, 애플 기기 관리 및 보안 플랫폼, 은 인텔 및 ARM 맥을 모두 겨냥한 새로운 스파이웨어 겸 정보 탈취기를 확인했습니다.

그들은 이 스파이웨어를 “Cuckoo”라고 명명했습니다. 이는 새처럼 호스트 시스템을 감염시키고 자원을 훔치기 때문입니다.

목차

• Cuckoo 스파이웨어의 변장? - Cuckoo는 모든 것을 알고 싶어합니다

Cuckoo 스파이웨어의 변장?

Cuckoo는 애플 시스템을 위해 설계된 실행 가능한 형식인 Mach-o 바이너리로 자신을 변장합니다.

Kandji 연구원들은 DumpMediaSpotifyMusicConverter라는 이름의 파일로 시작했습니다. 이 파일은 “upd”라고도 불리며 Virus Total에 업로드되었습니다.

이 스파이웨어는 iCloud 키체인, 애플 노트, 웹 브라우저 및 암호화폐 지갑의 데이터를 추적하고 기록합니다.

Discord, FileZilla, Steam 및 Telegram과 같은 앱도 그 대상입니다. Kandji 연구원들은 이 스파이웨어가 스크린샷을 캡처하기 위해 시스템 사운드를 음소거한다고 언급합니다.

또한, 이 앱은 자신의 흔적을 감추기 위해 실행되며 아무 일도 없었던 것처럼 행동합니다.

웹 검색을 통해 그들은 이 스파이웨어가 음악을 스트리밍 서비스에서 MP3로 변환하는 앱을 제공하는 웹사이트에 호스팅되어 있음을 발견했습니다.

의심되는 웹사이트는 스트리밍 서비스에서 음악을 리핑하고 iOS 및 Android 복구를 위한 애플리케이션의 무료 및 유료 버전을 제공합니다. 여기 몇 가지가 있습니다:

• dumpmedia[.]com

• Tunesolo[.]com

• Fonedog[.]com

• Tunesfun[.]com

• Tunefab[.]com

이 사이트의 모든 앱 번들은 Yian Technology Shenzhen Co., Ltd (VRBJ4VRP)의 개발자 ID를 가지고 있습니다. Fonedog의 앱 번들은 다른 ID: FoneDog Technology Limited (CUAU2GTG98)를 가지고 있습니다.

Spotify에서 mp3 애플리케이션을 다운로드한 후, 그들은 디스크 이미지 파일을 열었고 실제 앱과 함께 동일한 “upd” 파일을 발견하고 놀랐습니다.

악성 바이너리는 Gatekeeper에 의해 차단되어 실행되지 않았습니다. 수동으로 권한을 부여한 후, 앱은 사용자의 국가를 결정하기 위해 로케일을 확인했습니다.

놀랍게도, Cuckoo는 시스템이 다음 국가 중 하나에 속할 경우 실행되지 않습니다:

• 아르메니아

• 벨라루스

• 카자흐스탄

• 러시아

• 우크라이나

Cuckoo는 모든 것을 알고 싶어합니다

이 스파이웨어는 가능한 한 많은 정보를 캡처하고 이를 명령 및 제어 서버로 전송하도록 설계되었습니다.

Cuckoo는 정확한 하드웨어 정보를 결정하고, 설치된 앱 목록을 가져오며, 현재 실행 중인 프로세스를 캡처할 수 있습니다.

스트리밍 서비스에서 오디오 또는 비디오를 MP3 또는 다른 원하는 형식으로 추출하기 위한 도구를 검색하는 것은 일반적이며, 공격자들은 이 관심을 활용하고자 했습니다.

Cuckoo와 같은 스파이웨어로부터 맥을 보호하기 위해 신뢰할 수 없는 사이트에서 앱을 다운로드하지 마십시오.