Cuckoo Mac 恶意软件模仿音乐转换器窃取密码和加密货币

阅读量20033

发布时间 : 2024-05-08 10:51:56

Mac 安全提供商 Kandji 的网络安全研究人员发现了一种针对 macOS 用户的名为“Cuckoo”的新恶意软件。该恶意软件伪装成 Spotify 等音乐转换器应用程序,可以在基于 Intel 和 ARM 的 Apple Mac 电脑上运行。

研究人员于 2024 年 4 月 24 日发现了一个恶意 Mach-O 二进制文件,该二进制文件表现出间谍软件和信息窃取行为。其检查发现了一个名为“DumpMedia Spotify Music Converter”的文件,这是基于 Intel 或 ARM 的 Mac 计算机上的通用二进制文件。
Cuckoo Mac 恶意软件模仿音乐转换器窃取密码和加密货币从 dumpmediacom 下载 Spotify 版本时检测到该恶意软件。然后在其他网站上发现它有免费和付费版本。

Kandji 研究人员在博客文章中透露:“到目前为止,我们发现unesolocom、fonedogcom、tunesfuncom、tunefabcom 网站正在托管包含相同恶意软件的恶意应用程序。”

Cuckoo的欺骗策略
Cuckoo 声称可以将 Spotify 音乐转换为 MP3 格式,从而欺骗用户。安装后,它就会开始窃取数据,目标是 macOS 钥匙串、视觉证据、浏览历史记录、消息应用程序数据、加密货币钱包详细信息和身份验证凭据。

它通过请求用户打开应用程序来自行安装,无需经过审查的签名或开发人员 ID。它检查用户的位置并收集主机硬件信息。如果用户接受进一步的提示,则可以访问 Finder、麦克风和下载。

它的目标是什么?
Cuckoo 针对 macOS 的钥匙串(密码、登录凭据和加密密钥的存储库),从而危及在线帐户和敏感数据访问。

它窃取屏幕截图和网络摄像头快照,并针对 WhatsApp 和 Telegram 等消息应用程序,泄露用户的在线活动,并对数字资产所有者构成重大财务威胁。

研究人员发现 Cuckoo 将与 Safari、Notes 和 Keychain 相关的文件复制到临时位置,并创建感兴趣文件的路径。它每 60 秒运行一次启动代理以保持在计算机上的持久性。

背后是谁?
该活动并未明确归因于任何特定的威胁行为者,但研究人员指出,它保护了亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯和乌克兰的设备。

此外,它还通过 LaunchAgent 建立持久性,这是 RustBucket、XLoader、JaskaGO 中的一个功能,以及与中国威胁参与者 ZuRu 相关的后门。该恶意软件是使用合法的中国开发者ID(易安科技深圳有限公司(VRBJ4VRP))进行签名的,所有捆绑包(除了fonedogcom上托管的捆绑包)均已签名。

为了保护自己免受 Cuckoo 和其他恶意软件威胁,请谨慎下载软件,避免不受信任的来源,仔细检查电子邮件和附件,并使用可靠的防病毒和反恶意软件解决方案。保持警惕和怀疑对于数字隐私和安全至关重要。

本文转载自:

如若转载,请注明出处: https://www.hackread.com/cuckoo-mac-malware-music-converter-passwords-crypto/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66