محققان امنیت سایبری، یک بدافزار رباینده اطلاعات جدید به نام Cuckoo را شناسایی کردهاند که سیستمهای Mac مبتنی بر Intel و Arm را مورد هدف قرار میدهد. بدافزار Cuckoo علاوه بر ربودن اطلاعات، به عنوان یک جاسوس افزار نیز عمل میکند و به دنبال حفظ دسترسی بر روی میزبان آلوده است.
Cuckoo، اولین بار در بیست و چهارم آوریل 2024 در یک فایل باینری Mach-O به نام ” DumpMediaSpotifyMusicConverter” مشاهده شد. این باینری متعلق به برنامهای است که ادعا میکند، موسیقی را از Spotify به فرمت MP3 تبدیل میکند.
باینری بدافزار Cuckoo از طریق یک فایل DMG[1] که از وب سایت dumpmedia[.]com دانلود شده بود، بر روی دستگاه قربانی مستقر شده است. فایل DMG، مسئول ایجاد یک شِل bash برای جمعآوری اطلاعات میزبان میباشد.
شِل مورد نظر، شناسه منحصربهفرد جهانی (UUID[2]) دستگاه را جستجو و تنظیمات لوکال آن را بررسی میکند. این شِل همچنین بررسی خواهد کرد که دستگاه، در کشورهای ارمنستان، بلاروس، قزاقستان، روسیه و اوکراین قرار نداشته باشد تا از آلودگی دستگاههای واقع در این مناطق به بدافزار جلوگیری به عمل آورد. باینری مخرب، تنها در صورتی اجرا میشود که این بررسی، موفق باشد.
بدافزار Cuckoo در واقع برای اجرای یک سری دستورات به منظور استخراج اطلاعات سخت افزاری، تاریخچه مرورگر و کوکیها، کلیدهای SSH، کپچر کردن فرآیندهای در حال اجرا، دریافت لیست برنامههای نصب شده، گرفتن اسکرین شات و جمع آوری داده از iCloud Keychain، Apple Notes، کیف پولهای رمزارز و برنامههایی مانند Discord، FileZilla، Steam، تلگرام و واتساپ طراحی شده است.
داده های ربوه شده سپس به یک سرور فرماندهی و کنترل (C2[3]) که توسط اپراتورهای بدافزار نظارت و مدیریت میشود، ارسال خواهند شد.
بدافزار Cuckoo با استفاده از LaunchAgent، تداوم دسترسی خود را تضمین میکند. LaunchAgent، تکنیکی است که قبلاً توسط خانوادههای بدافزارهای مختلف مانند RustBucket، XLoader و JaskaGO مورد استفاده قرار گرفته است.
به منظور جلوگیری از آلوده شدن دستگاه به بدافزار، توصیه میشود که از دانلود برنامه از منابع نامعتبر خودداری شود و به روزرسانیها و پچهای امنیتی بطور منظم دریافت و نصب گردند. ماهیت و عملکرد بدافزار Cuckoo، پیچیدگی روزافزون تهدیدات macOS و نیاز به کنترلهای امنیتی قوی در پلتفرمهای دسکتاپ را برجسته میکند.
IoCها
DMGS
- Spotify-music-converter.dmg: 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b
MACH-OS
- DumpMediaSpotifyMusicConverter: 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
- TuneSoloAppleMusicConverter: d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
- TuneFunAppleMusicConverter: 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
- FoneDogToolkitForAndroid: a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc
DOMAIN/IP
- http://146[.]70[.]80[.]123/static[.]php
- http://146[.]70[.]80[.]123/index[.]php
- http://tunesolo[.]com
- http://fonedog[.]com
- http://tunesfun[.]com
- http://dumpmedia[.]com
- http://tunefab[.]com
[1] disk image
[2] universally unique identifier
[3] Command and Control
