Détection de Malware Cuckoo : Nouveau Spyware macOS & Infostealer ciblant les Macs basés sur Intel et ARM
Table des matières :
Les chercheurs en cybersécurité ont récemment découvert une nouvelle souche malveillante baptisée Cuckoo malware, qui imite les capacités des logiciels espions et d’un voleur d’informations et peut fonctionner sur des ordinateurs Mac basés sur Intel et Arm.
Détecter le malware Cuckoo
La recrudescence des attaques d’infostealing en cours utilisant des malwares macOS renforce la nécessité de renforcer les défenses. La plateforme SOC Prime organise un ensemble d’algorithmes de détection pour aider les défenseurs à identifier en temps opportun les activités suspectes liées au nouveau logiciel espion persistant macOS “Cuckoo”, qui possède également des capacités d’infostealing.
Les détections sont mappées au cadre MITRE ATT&CK® v.14.1 et enrichies de métadonnées détaillées. Pour accélérer les opérations d’ingénierie de la détection, vous pouvez également convertir automatiquement le code de détection en plusieurs formats SIEM, EDR et Data Lake.
Cliquez sur le bouton Explorer les Détections pour accéder aux règles Sigma pertinentes filtrées par le tag “cuckoo malware” et aider votre organisation à prévenir de manière proactive les attaques ciblées sur macOS.
Analyse du malware Cuckoo
Les chercheurs de Kandji ont récemment découvert un binaire Mach-O malveillant habilement conçu pour imiter les fonctionnalités des logiciels espions et des voleurs d’informations. Les défenseurs ont appelé le nouveau malware “Cuckoo”, s’inspirant du comportement de l’oiseau Cuckoo qui pond ses œufs dans les nids d’autres oiseaux, exploitant leurs ressources au bénéfice de sa progéniture.
La méthode précise de distribution du malware reste actuellement incertaine. Cependant, les chercheurs ont identifié que le binaire Mach-O malveillant est hébergé sur un ensemble de sites qui proposent à la fois des versions gratuites et payantes de logiciels spécialisés dans l’extraction musicale à partir de services de streaming et la conversion au format MP3.
Lors du téléchargement du fichier d’image disque à partir de ces sites, un shell bash est lancé. Les attaquants l’utilisent pour collecter des données sur le système hôte et pour s’assurer que le système affecté a des emplacements autres que l’Arménie, le Kazakhstan, la Russie, la Biélorussie ou l’Ukraine avant d’exécuter le binaire malveillant.
Les souches malveillantes d’infostealing n’établissent normalement pas de persistance, ce qui est plus typique des logiciels espions. Cependant, le malware Cuckoo récemment identifié a été observé affichant un tel comportement inhabituel. Cuckoo utilise un LaunchAgent pour la persistance, une méthode précédemment utilisée par diverses familles de malwares, telles que XLoader, JaskaGO, ou RustBucket.
Pour l’élévation des privilèges, Cuckoo utilise osascript pour présenter une invite de mot de passe trompeuse similaire au malware MacStealer pour macOS. Le malware Cuckoo emploie des tactiques sophistiquées et peut exécuter une série de commandes pour recueillir des informations matérielles, capturer les processus en cours, rechercher les applications installées et collecter des données de diverses sources, y compris les navigateurs Web, les portefeuilles de cryptomonnaie et les applications logicielles populaires. Le malware utilise des sockets et l’API curl pour communiquer avec son serveur C2.
Notamment, chaque application armée découverte contient un ensemble supplémentaire d’applications dans son répertoire de ressources. Les défenseurs suggèrent qu’il pourrait y avoir davantage de sites Web et d’applications diffusant Cuckoo qui n’ont pas encore été découverts, ce qui accentue la nécessité de mesures défensives proactives.
Compte sur la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation de la pile de détection afin de prévenir les intrusions et de toujours garder un doigt sur le pouls du paysage numérique en constante évolution.
