Intel および ARM Mac ユーザー: Cuckoo スパイウェアは PC に損害を与える可能性があります

Web には、正当な価値のあるアプリケーションを装ったスパイウェアが溢れています。

Kandji は Apple のデバイス管理およびセキュリティ プラットフォームです。特定されたIntel と ARM Mac の両方をターゲットとする、新しいスパイウェア兼情報窃取ツール。

彼らはこのスパイウェアに「Cuckoo」というコード名を付けました。これは、このスパイウェアが鳥と同じようにホスト システムに感染し、そのリソースを盗むためです。

Cuckoo Spyware の変装とは何ですか?

Cuckoo は、Apple システム用に設計された実行可能形式である Mach-o バイナリを装います。

Kanji 研究者は、次の名前のファイルから始めました。ダンプメディアSpotify音楽コンバータ、「upd」とも呼ばれ、Virus Total にアップロードされます。

iCloud キーチェーン、Apple Notes、Web ブラウザ、暗号ウォレットからのデータを追跡および記録します。

Discord、FileZilla、Steam、Telegram などのアプリもその標的となります。 Kandji 研究者らは、スパイウェアがスクリーンショットをキャプチャするためにシステム音をミュートしていることに注目しています。

また、アプリを起動してその痕跡を隠し、何事もなかったかのように動作します。

Web を検索したところ、アプリを提供する Web サイトでホストされていることがわかりました。音楽を変換するストリーミングサービスからMP3まで。

疑わしい Web サイトは、ストリーミング サービスから音楽をリッピングしたり、iOS や Android を回復したりするためのアプリケーションの無料版と有料版を提供しています。その一部を次に示します。

  • ダンプメディア[.]com
  • チューンソロ[.]com
  • Fonedog[.]com
  • Tunesfun[.]com
  • チューンファブ[.]com

これらのサイトのすべてのアプリ バンドルには、Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) の開発者 ID が付いています。 Fonedog のアプリバンドルには別の ID があります: FoneDog Technology Limited (CUAU2GTG98)。

Spotify to mp3 アプリケーションをダウンロードした後、ディスク イメージ ファイルを開いたところ、実際のアプリと一緒に同じ「upd」ファイルが見つかって驚きました。

悪意のあるバイナリは実行されませんでした。門番それをブロックした。手動許可を付与した後、アプリはロケールをチェックしてユーザーの国を特定しました。

驚くべきことに、システムが次の国のいずれかに属している場合、Cuckoo は実行されません。

  • アルメニア
  • ベラルーシ
  • カザフスタン
  • ロシア
  • ウクライナ

カッコーはすべてを知りたい

これスパイウェアは、可能な限り多くの情報を取得し、それをコマンド アンド コントロール サーバーに送信するように設計されています。

Cuckoo は、正確なハードウェア情報を特定し、インストールされているアプリのリストを取得し、現在実行中のプロセスをキャプチャできます。

ストリーミング サービスからオーディオまたはビデオを MP3 またはその他の目的の形式に抽出するツールを検索することは一般的であり、攻撃者はこの関心を利用しようとしました。

信頼できないサイトからアプリをダウンロードしないでください。あなたのMacを守るCuckoo のようなスパイウェアから。