Usuários de Mac Intel e ARM: O Spyware Cuckoo Pode Prejudicar Seu PC

A web está repleta de spyware que se apresenta como aplicativos legítimos e valiosos.

Kandji, uma plataforma de gerenciamento e segurança de dispositivos Apple, identificou um novo spyware-cum-infostealer que visa tanto Macs Intel quanto ARM.

Eles codificaram o spyware como “Cuckoo” porque ele infecta o sistema hospedeiro e rouba seus recursos, assim como o pássaro.

Tabela de Conteúdos

• Qual é o Disfarce do Spyware Cuckoo? - Cuckoo Quer Saber Tudo

Qual é o Disfarce do Spyware Cuckoo?

Cuckoo se disfarça como um binário Mach-o, um formato executável projetado para sistemas Apple.

Pesquisadores da Kandji começaram com um arquivo chamado DumpMediaSpotifyMusicConverter, também conhecido como “upd” enviado para o Virus Total.

Ele rastreia e grava os dados do iCloud Keychain, Apple Notes, navegadores da web e carteiras de criptomoedas.

Até aplicativos como Discord, FileZilla, Steam e Telegram são seus alvos. Pesquisadores da Kandji observam que o spyware silencia o som do sistema para capturar capturas de tela.

Ele também inicia o aplicativo para cobrir suas trilhas e agir como se nada tivesse acontecido.

Ao pesquisar na web, eles descobriram que estava hospedado em um site que oferecia aplicativos para converter música de serviços de streaming para MP3.

Os sites suspeitos oferecem versões gratuitas e pagas de aplicativos para extrair música de serviços de streaming e para recuperação de iOS e Android. Aqui estão alguns deles:

• dumpmedia[.]com

• Tunesolo[.]com

• Fonedog[.]com

• Tunesfun[.]com

• Tunefab[.]com

Todos os pacotes de aplicativos nesses sites têm um ID de Desenvolvedor da Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Pacotes de aplicativos no Fonedog têm um ID diferente: FoneDog Technology Limited (CUAU2GTG98).

Após baixar um aplicativo de Spotify para mp3, eles abriram o arquivo de imagem do disco e ficaram surpresos ao encontrar o mesmo arquivo “upd” junto com o aplicativo real.

O binário malicioso não foi executado porque o Gatekeeper o bloqueou. Após conceder permissão manual, o aplicativo verificou o local para determinar o país do usuário.

Surpreendentemente, o Cuckoo não será executado se o sistema pertencer a qualquer um dos seguintes países:

• Armênia

• Bielorrússia

• Cazaquistão

• Rússia

• Ucrânia

Cuckoo Quer Saber Tudo

Esse spyware é projetado para capturar o máximo de informações possível e enviá-las para o servidor de Comando e Controle.

Cuckoo pode determinar suas informações exatas de hardware, obter a lista de aplicativos instalados e capturar processos em execução atualmente.

Procurar ferramentas para extrair áudio ou vídeo de um serviço de streaming para MP3 ou outro formato desejado é comum, e os atacantes queriam capitalizar sobre esse interesse.

Evite baixar aplicativos de sites não confiáveis para proteger seu Mac de spyware como o Cuckoo.