06 de mayo de 2024Sala de redacciónSpyware/Malware Investigadores de ciberseguridad han descubierto un nuevo ladrón de información dirigido a sistemas Apple macOS que está diseñado para configurar la persistencia en los hosts infectados y actuar como software espía. Apodado Cuckoo por Kandji, el malware es un binario Mach-O universal que es capaz de ejecutarse en Mac tanto con Intel como con Arm. El vector de distribución exacto no está claro actualmente, aunque hay indicios de que el binario está alojado en sitios como dumpmedia.[.]com, tunesolo[.]cómo, fonedogo[.]com, tunesfun[.]com y tunefab[.]com que afirman ofrecer versiones gratuitas y de pago de aplicaciones dedicadas a extraer música de servicios de transmisión y convertirla al formato MP3. El archivo de imagen de disco descargado de los sitios web es responsable de generar un shell bash para recopilar información del host y garantizar que la máquina comprometida no esté ubicada en Armenia, Bielorrusia, Kazajstán, Rusia o Ucrania. El binario malicioso se ejecuta sólo si la verificación de configuración regional es exitosa. También establece persistencia mediante LaunchAgent, una técnica adoptada previamente por diferentes familias de malware como RustBucket, XLoader, JaskaGO y una puerta trasera de macOS que comparte superposiciones con ZuRu. Cuckoo, al igual que el malware ladrón de macOS MacStealer, también aprovecha osascript para mostrar una solicitud de contraseña falsa para engañar a los usuarios para que ingresen sus contraseñas del sistema para escalar privilegios. «Este malware busca archivos específicos asociados con aplicaciones específicas, en un intento de recopilar la mayor cantidad de información posible del sistema», dijeron los investigadores Adam Kohler y Christopher Lopez. Está equipado para ejecutar una serie de comandos para extraer información del hardware, capturar procesos actualmente en ejecución, consultar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de iCloud Keychain, Apple Notes, navegadores web, billeteras criptográficas y aplicaciones como Discord, FileZilla, Steam. y Telegrama. «Cada aplicación maliciosa contiene otro paquete de aplicaciones dentro del directorio de recursos», dijeron los investigadores. «Todos esos paquetes (excepto los alojados en fonedog[.]com) están firmados y tienen un ID de desarrollador válido de Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). » «El sitio web fonedog[.]com albergaba una herramienta de recuperación de Android, entre otras cosas; el paquete de aplicaciones adicional en este tiene una identificación de desarrollador de FoneDog Technology Limited (CUAU2GTG98)». La divulgación se produce casi un mes después de que la compañía de administración de dispositivos Apple también expusiera otro malware ladrón con nombre en código CloudChat que se hace pasar por una aplicación de mensajería orientada a la privacidad y está capaz de comprometer a los usuarios de macOS cuyas direcciones IP no están geolocalizadas en China. El malware funciona capturando claves privadas criptográficas copiadas en el portapapeles y datos asociados con las extensiones de billetera instaladas en Google Chrome. También sigue al descubrimiento de una nueva variante del notorio AdLoad. malware escrito en Go llamado Rload (también conocido como Lador) que está diseñado para evadir la lista de firmas de malware XProtect de Apple y está compilado únicamente para la arquitectura Intel x86_64. «Los binarios funcionan como goteros iniciales para la carga útil de la siguiente etapa», dijo el investigador de seguridad de SentinelOne, Phil Stokes. En un informe de la semana pasada, se agregó que los métodos de distribución específicos aún no están claros. Dicho esto, se ha observado que estos droppers generalmente están integrados en aplicaciones crackeadas o troyanizadas distribuidas por sitios web maliciosos. AdLoad, una campaña de adware generalizada que afecta a macOS desde al menos 2017, es conocida por secuestrar los resultados de los motores de búsqueda e inyectar anuncios en páginas web para obtener ganancias monetarias mediante un proxy web adversario en el medio para redirigir el tráfico web del usuario a través del atacante. infraestructura propia. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.