خانه » نفوذ بدافزار Cuckoo به سیستم های macOS

نفوذ بدافزار Cuckoo به سیستم های macOS

توسط Vulnerbyte
113 بازدید
بدافزار Cuckoo - جاسوس ‌افزار Cuckoo – نفوذ به macOS

محققان امنیت سایبری، یک بدافزار رباینده اطلاعات جدید به نام Cuckoo را شناسایی کرده‌اند که سیستم‌های Mac مبتنی بر Intel و Arm را مورد هدف قرار می‌دهد. بدافزار Cuckoo علاوه بر ربودن اطلاعات، به عنوان یک جاسوس ‌افزار نیز عمل می‌کند و به دنبال حفظ دسترسی بر روی میزبان آلوده است.

Cuckoo، اولین بار در بیست و چهارم آوریل 2024 در یک فایل باینری Mach-O به نام ” DumpMediaSpotifyMusicConverter” مشاهده شد. این باینری متعلق به برنامه‌ای است که ادعا می‌کند، موسیقی را از Spotify به فرمت MP3 تبدیل می‌کند.

باینری بدافزار Cuckoo از طریق یک فایل DMG[1] که از وب سایت dumpmedia[.]com دانلود شده بود، بر روی دستگاه قربانی مستقر شده است. فایل DMG، مسئول ایجاد یک شِل bash برای جمع‌آوری اطلاعات میزبان می‌باشد.

شِل مورد نظر، شناسه منحصربه‌فرد جهانی (UUID[2]) دستگاه را جستجو و تنظیمات لوکال آن را بررسی می‌کند. این شِل همچنین بررسی خواهد کرد که دستگاه، در کشورهای ارمنستان، بلاروس، قزاقستان، روسیه و اوکراین قرار نداشته باشد تا از آلودگی دستگاه‌های واقع در این مناطق به بدافزار جلوگیری به عمل آورد. باینری مخرب، تنها در صورتی اجرا می‌شود که این بررسی، موفق باشد.

بدافزار Cuckoo در واقع برای اجرای یک سری دستورات به منظور استخراج اطلاعات سخت افزاری، تاریخچه مرورگر و کوکی‌ها، کلیدهای SSH، کپچر کردن فرآیندهای در حال اجرا، دریافت لیست برنامه‌های نصب شده، گرفتن اسکرین شات و جمع آوری داده از iCloud Keychain، Apple Notes، کیف پول‌های رمزارز و برنامه‌هایی مانند Discord، FileZilla، Steam، تلگرام و واتساپ طراحی شده است.

داده های ربوه شده سپس به یک سرور فرماندهی و کنترل (C2[3]) که توسط اپراتورهای بدافزار نظارت و مدیریت می‌شود، ارسال خواهند شد.

بدافزار Cuckoo با استفاده از LaunchAgent، تداوم دسترسی خود را تضمین می‌کند. LaunchAgent، تکنیکی است که قبلاً توسط خانواده‌های بدافزارهای مختلف مانند RustBucket، XLoader و JaskaGO مورد استفاده قرار گرفته است.

به منظور جلوگیری از آلوده شدن دستگاه به بدافزار، توصیه می‌شود که از دانلود برنامه از منابع نامعتبر خودداری شود و به روزرسانی‌ها و پچ‌های امنیتی بطور منظم دریافت و نصب گردند. ماهیت و عملکرد بدافزار Cuckoo، پیچیدگی روزافزون تهدیدات macOS و نیاز به کنترل‌های امنیتی قوی در پلتفرم‌های دسکتاپ را برجسته می‌کند.

 

IoCها

DMGS

  • Spotify-music-converter.dmg: 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b  

MACH-OS

  • DumpMediaSpotifyMusicConverter: 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
  • TuneSoloAppleMusicConverter: d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
  • TuneFunAppleMusicConverter: 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
  • FoneDogToolkitForAndroid: a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc

DOMAIN/IP

  • http://146[.]70[.]80[.]123/static[.]php
  • http://146[.]70[.]80[.]123/index[.]php
  • http://tunesolo[.]com
  • http://fonedog[.]com
  • http://tunesfun[.]com
  • http://dumpmedia[.]com
  • http://tunefab[.]com 

 

[1] disk image

[2] universally unique identifier

[3] Command and Control

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید