Пользователи Mac на Intel и ARM: Шпионское ПО Cuckoo может навредить вашему ПК

В сети полно шпионского ПО, выдающего себя за легитимные, ценные приложения.

Kandji, платформа управления и безопасности устройств Apple, выявила новое шпионское ПО, которое также является инфостилером и нацелено как на Intel, так и на ARM Mac.

Они назвали шпионское ПО «Cuckoo», потому что оно заражает хост-систему и крадет ее ресурсы, как это делает птица.

Table Of Contents

• Каково прикрытие шпионского ПО Cuckoo? - Cuckoo хочет знать все

Каково прикрытие шпионского ПО Cuckoo?

Cuckoo маскируется под бинарный файл Mach-o, исполняемый формат, предназначенный для систем Apple.

Исследователи Kandji начали с файла под названием DumpMediaSpotifyMusicConverter, также известного как «upd», загруженного на Virus Total.

Он отслеживает и записывает данные из iCloud Keychain, Apple Notes, веб-браузеров и крипто-кошельков.

Даже такие приложения, как Discord, FileZilla, Steam и Telegram, являются его целями. Исследователи Kandji отмечают, что шпионское ПО отключает системный звук, чтобы делать скриншоты.

Оно также запускает приложение, чтобы скрыть свои следы и действовать так, будто ничего не произошло.

При поиске в интернете они обнаружили, что оно размещено на сайте, который предлагал приложения для конвертации музыки из потоковых сервисов в MP3.

Подозреваемые веб-сайты предлагают бесплатные и платные версии приложений для извлечения музыки из потоковых сервисов и для восстановления на iOS и Android. Вот некоторые из них:

• dumpmedia[.]com

• Tunesolo[.]com

• Fonedog[.]com

• Tunesfun[.]com

• Tunefab[.]com

Все пакеты приложений на этих сайтах имеют идентификатор разработчика Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Пакеты приложений на Fonedog имеют другой идентификатор: FoneDog Technology Limited (CUAU2GTG98).

После загрузки приложения для Spotify в mp3 они открыли файл образа диска и были удивлены, обнаружив тот же файл «upd» вместе с фактическим приложением.

Зловредный бинарный файл не запустился, потому что Gatekeeper заблокировал его. После предоставления ручного разрешения приложение проверило локаль, чтобы определить страну пользователя.

Удивительно, но Cuckoo не запустится, если система принадлежит любой из следующих стран:

• Армения

• Беларусь

• Казахстан

• Россия

• Украина

Cuckoo хочет знать все

Это шпионское ПО предназначено для захвата как можно большего количества информации и отправки ее на сервер командования и управления.

Cuckoo может определить вашу точную информацию о железе, получить список установленных приложений и захватить текущие запущенные процессы.

Поиск инструментов для извлечения аудио или видео из потокового сервиса в MP3 или другой желаемый формат является распространенной практикой, и злоумышленники хотели воспользоваться этим интересом.

Избегайте загрузки приложений с ненадежных сайтов, чтобы защитить ваш Mac от шпионского ПО, такого как Cuckoo.