Cuckoo Stealer 瞄準 Mac 系統

安全研究人員發現了一種針對 Apple macOS 系統的新資訊竊賊，旨在在受影響的電腦上建立持久性並作為間諜軟體運行。該惡意軟體被 Kandji 稱為 Cuckoo，是一種通用的 Mach-O 二進位文件，與基於 Intel 和 Arm 的 Mac 相容。

確切的分發方法仍不清楚，但有證據表明該二進位檔案託管在dumpmedia[.]com、tunesolo[.]com、fonedog[.]com、tunesfun[.]com 和unefab[.]com 等網站上，這些網站聲稱提供各種版本的應用程序，用於將音樂從串流媒體服務翻錄為 MP3。

從這些網站下載磁碟映像檔後，會啟動 bash shell 來收集主機資訊並確認受感染的電腦不在亞美尼亞、白俄羅斯、哈薩克、俄羅斯或烏克蘭，只有在檢查成功時才會執行惡意二進位檔案。

Cuckoo Stealer 操作模式

該惡意軟體透過 LaunchAgent 建立持久性，這是其他惡意軟體系列（例如 RustBucket、XLoader、JaskaGO 和類似於 ZuRu 的 macOS 後門）之前使用的方法。

與 MacStealer macOS 惡意軟體類似，Cuckoo 也使用 osascript 呈現虛假密碼提示，誘騙使用者輸入系統密碼以實現權限升級。

研究人員表示，該惡意軟體會掃描與特定應用程式連結的特定文件，試圖收集大量系統資訊。它執行各種命令來提取硬體詳細資訊、捕獲正在運行的進程、查詢已安裝的應用程式、截取螢幕截圖以及從iCloud 鑰匙串、Apple Notes、Web 瀏覽器、加密錢包以及Discord、FileZilla、Steam 和Telegram等應用程式收集資料。

在此之前，一家蘋果設備管理公司最近曝光了另一種名為 CloudChat 的竊取惡意軟體，該惡意軟體偽裝成一款注重隱私的訊息應用程序，能夠危害中國境外的 macOS 用戶。

CloudChat 透過從剪貼簿取得加密私鑰和 Google Chrome 上的錢包擴充功能中的資料來進行操作。

此外，還發現了用 Go 編寫的著名 AdLoad 惡意軟體的新變種，名為 Rload（或 Lador）。它旨在規避 Apple 的 XProtect 惡意軟體簽名列表，並專門針對 Intel x86_64 架構進行編譯。