Cuckoo-Malware-Erkennung: Neue macOS-Spyware & Infostealer zielen auf Intel- und ARM-basierte Macs ab
Inhaltsverzeichnis:
Cybersecurity-Forscher haben kürzlich einen neuartigen bösartigen Strain namens Cuckoo-Malware entdeckt, der die Fähigkeiten von Spyware und einem Infostealer nachahmt und sowohl auf Intel- als auch auf ARM-basierten Mac-Computern laufen kann.
Cuckoo-Malware erkennen
Der Anstieg der laufenden infostealing Angriffe mit macOS-Malware verstärkt den Bedarf an verstärkten Abwehrmaßnahmen. Die SOC Prime Platform kuratiert eine Reihe von Erkennungsalgorithmen, um Verteidiger dabei zu unterstützen, rechtzeitig verdächtige Aktivitäten im Zusammenhang mit der neuen, persistenten macOS-Spyware „Cuckoo“, die ebenfalls Infostealer-Fähigkeiten aufweist, zu identifizieren.
Erkennungen werden dem MITRE ATT&CK®-Framework v.14.1 zugeordnet und mit detaillierten Metadaten angereichert. Um die Detection Engineering-Operationen zu beschleunigen, können Sie auch den Erkennungscode automatisch in mehrere SIEM-, EDR- und Data-Lake-Formate konvertieren.
Klicken Sie auf die Erkundung der Erkennungen Schaltfläche, um auf relevante Sigma-Regeln zuzugreifen, die nach dem „cuckoo malware“-Tag gefiltert sind, und helfen Sie Ihrer Organisation, macOS-gerichtete Angriffe proaktiv zu vereiteln.
Cuckoo-Malware-Analyse
Kandji-Forscher sind kürzlich auf ein neuartiges bösartiges Mach-O-Binary gestoßen, das geschickt entwickelt wurde, um die Funktionalitäten von Spyware und einem Infostealer nachzuahmen. Verteidiger nannten die neue Malware „Cuckoo“, inspiriert vom Verhalten des Kuckucksvogels, der seine Eier in die Nester anderer Vögel legt und deren Ressourcen zum Vorteil seiner Nachkommen nutzt.
Die genaue Verteilungsmethode der Malware ist derzeit ungewiss. Forscher haben jedoch festgestellt, dass das bösartige Mach-O-Binary auf einer Reihe von Websites gehostet wird, die sowohl kostenlose als auch kostenpflichtige Versionen von Anwendungen anbieten, die sich auf das Extrahieren von Musik aus Streaming-Diensten und das Konvertieren in das MP3-Format spezialisiert haben.
Beim Herunterladen der Disk-Image-Datei von diesen Websites wird ein Bash-Shell gesponnen. Angreifer nutzen diese, um Daten über das Host-System zu sammeln und sicherzustellen, dass sich das betroffene System an anderen Orten als Armenien, Kasachstan, Russland, Weißrussland oder Ukraine befindet, bevor das bösartige Binary ausgeführt wird.
Informationsdiebstahl-Bösartige Strains etablieren normalerweise keine Persistenz, was eher für Spyware typisch ist. Die kürzlich identifizierte Cuckoo-Malware hat jedoch gezeigt, dass sie ein solches ungewöhnliches Verhalten aufweist. Cuckoo nutzt eine LaunchAgent für Persistenz, eine Methode, die zuvor von verschiedenen Malware-Familien wie XLoader, JaskaGO oder RustBucket verwendet wurde.
Zur Privilegieneskalation nutzt Cuckoo osascript, um eine täuschende Passwortabfrage ähnlich der MacStealer macOS-Malwareanzuzeigen. Die Cuckoo-Malware setzt auf ausgeklügelte Taktiken und kann eine Reihe von Befehlen ausführen, um Hardwareinformationen zu sammeln, laufende Prozesse zu erfassen, nach installierten Anwendungen zu suchen und Daten aus verschiedenen Quellen zu sammeln, darunter Webbrowser, Kryptowährungs-Wallets und beliebte Softwareanwendungen. Die Malware nutzt Sockets und die curl API für die Kommunikation zurück zu ihrem C2-Server.
Bemerkenswerterweise beherbergt jede entdeckte Waffe eine zusätzliche Anwendungsbündel innerhalb ihres Ressourcenverzeichnisses. Verteidiger schlagen vor, dass es noch mehr Websites und Anwendungen geben könnte, die Cuckoo verteilen, die noch nicht entdeckt wurden, was die Notwendigkeit proaktiver Verteidigungsmaßnahmen unterstreicht.
Verlassen Sie sich auf SOC Primes komplette Produktsuite für KI-gesteuertes Detection Engineering, automatisierte Bedrohungssuche und Validierung des Erkennungsstacks, um Eindringlinge zu verhindern und immer am Puls der sich ständig weiterentwickelnden digitalen Welt zu bleiben.
