Web には、正当な価値のあるアプリケーションを装ったスパイウェアが溢れています。
Kandji は Apple のデバイス管理およびセキュリティ プラットフォームです。特定されたIntel と ARM Mac の両方をターゲットとする、新しいスパイウェア兼情報窃取ツール。
彼らはこのスパイウェアに「Cuckoo」というコード名を付けました。これは、このスパイウェアが鳥と同じようにホスト システムに感染し、そのリソースを盗むためです。
Cuckoo Spyware の変装とは何ですか?
Cuckoo は、Apple システム用に設計された実行可能形式である Mach-o バイナリを装います。
Kanji 研究者は、次の名前のファイルから始めました。ダンプメディアSpotify音楽コンバータ、「upd」とも呼ばれ、Virus Total にアップロードされます。
iCloud キーチェーン、Apple Notes、Web ブラウザ、暗号ウォレットからのデータを追跡および記録します。
Discord、FileZilla、Steam、Telegram などのアプリもその標的となります。 Kandji 研究者らは、スパイウェアがスクリーンショットをキャプチャするためにシステム音をミュートしていることに注目しています。
また、アプリを起動してその痕跡を隠し、何事もなかったかのように動作します。
Web を検索したところ、アプリを提供する Web サイトでホストされていることがわかりました。音楽を変換するストリーミングサービスからMP3まで。
疑わしい Web サイトは、ストリーミング サービスから音楽をリッピングしたり、iOS や Android を回復したりするためのアプリケーションの無料版と有料版を提供しています。その一部を次に示します。
- ダンプメディア[.]com
- チューンソロ[.]com
- Fonedog[.]com
- Tunesfun[.]com
- チューンファブ[.]com
これらのサイトのすべてのアプリ バンドルには、Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) の開発者 ID が付いています。 Fonedog のアプリバンドルには別の ID があります: FoneDog Technology Limited (CUAU2GTG98)。
Spotify to mp3 アプリケーションをダウンロードした後、ディスク イメージ ファイルを開いたところ、実際のアプリと一緒に同じ「upd」ファイルが見つかって驚きました。
悪意のあるバイナリは実行されませんでした。門番それをブロックした。手動許可を付与した後、アプリはロケールをチェックしてユーザーの国を特定しました。
驚くべきことに、システムが次の国のいずれかに属している場合、Cuckoo は実行されません。
- アルメニア
- ベラルーシ
- カザフスタン
- ロシア
- ウクライナ
カッコーはすべてを知りたい
これスパイウェアは、可能な限り多くの情報を取得し、それをコマンド アンド コントロール サーバーに送信するように設計されています。
Cuckoo は、正確なハードウェア情報を特定し、インストールされているアプリのリストを取得し、現在実行中のプロセスをキャプチャできます。
ストリーミング サービスからオーディオまたはビデオを MP3 またはその他の目的の形式に抽出するツールを検索することは一般的であり、攻撃者はこの関心を利用しようとしました。
信頼できないサイトからアプリをダウンロードしないでください。あなたのMacを守るCuckoo のようなスパイウェアから。