Detección de Malware Cuckoo: Nuevo Spyware e Infostealer para macOS Dirigido a Macs con Procesadores Intel y ARM
Tabla de contenidos:
Los investigadores en ciberseguridad han descubierto recientemente una nueva cepa maliciosa denominada malware Cuckoo, que imita las capacidades de un software espía y un infostealer, y puede ejecutarse tanto en computadoras Mac basadas en Intel como en Arm.
Detectar malware Cuckoo
El aumento en los ataques de robo de información en curso usando malware de macOS aumenta la necesidad de fortalecer las defensas. La Plataforma SOC Prime recopila un conjunto de algoritmos de detección para ayudar a los defensores a identificar oportunamente actividades sospechosas relacionadas con el nuevo spyware persistente de macOS “Cuckoo”, que también tiene capacidades de robo de información.
Las detecciones están mapeadas al marco MITRE ATT&CK® v.14.1 y enriquecidas con metadatos de profundidad. Para acelerar las operaciones de Ingeniería de Detección, también puede convertir automáticamente el código de detección en múltiples formatos de SIEM, EDR y Data Lake.
Haga clic en el Explorar detecciones botón para acceder a reglas Sigma relevantes filtradas por la etiqueta “malware cuckoo” y ayudar a su organización a prevenir proactivamente los ataques dirigidos a macOS.
Análisis de Malware Cuckoo
Investigadores de Kandji se han topado recientemente con un binario Mach-O malicioso hábilmente diseñado para imitar las funcionalidades de un software espía y un infostealer. Los defensores llamaron al nuevo malware “Cuckoo”, inspirándose en el comportamiento del pájaro cuco, que pone sus huevos en los nidos de otras aves, aprovechando sus recursos para el beneficio de su descendencia.
El método preciso de distribución del malware sigue siendo actualmente incierto. Sin embargo, los investigadores han identificado que el binario Mach-O malicioso está alojado en un conjunto de sitios web que ofrecen tanto versiones gratuitas como de pago de aplicaciones especializadas en extraer música de servicios de streaming y convertirla en formato MP3.
Al descargar el archivo de imagen de disco de estos sitios web, se inicia un shell de bash. Los atacantes emplean este último para recopilar datos sobre el sistema anfitrión y para asegurar que el sistema afectado tenga ubicaciones distintas de Armenia, Kazajistán, Rusia, Bielorrusia o Ucrania antes de ejecutar el binario malicioso.
Las cepas maliciosas que roban información normalmente no establecen persistencia, lo cual es más típico de un software espía. Sin embargo, se ha observado que el malware Cuckoo identificado recientemente exhibe un comportamiento tan inusual. Cuckoo utiliza un LaunchAgent para la persistencia, un método previamente empleado por varias familias de malware, como XLoader, JaskaGO, o RustBucket.
Para la escalada de privilegios, Cuckoo utiliza osascript para presentar un aviso de contraseña engañoso similar al malware MacStealer de macOS. El malware Cuckoo emplea tácticas sofisticadas y puede ejecutar una serie de comandos para recopilar información de hardware, capturar procesos en ejecución, buscar aplicaciones instaladas y recopilar datos de diversas fuentes, incluidas navegadores web, billeteras de criptomonedas y aplicaciones de software populares. El malware utiliza sockets y la API curl para la comunicación de vuelta a su servidor C2.
Notablemente, cada aplicación armada descubierta alberga un paquete de aplicación adicional dentro de su directorio de recursos. Los defensores sugieren que puede haber más sitios web y aplicaciones que distribuyan Cuckoo que aún no han sido descubiertas, lo que enfatiza la necesidad de medidas defensivas proactivas.
Depéndase de la suite completa de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada, y Validación de Pila de Detección para prevenir intrusiones y siempre mantener el pulso en el panorama digital en constante evolución.
