Rilevamento Malware Cuckoo: Nuovo Spyware macOS & Infostealer che prende di mira i Mac con Intel e ARM
Indice:
Ricercatori di cybersecurity hanno recentemente scoperto un nuovo ceppo di malware, denominato Cuckoo, che imita le capacità di spyware e di infostealer e può essere eseguito su computer Mac basati su Intel e Arm.
Rileva Cuckoo Malware
L’aumento degli attacchi in corso che sottraggono informazioni utilizzando malware per macOS aumenta la necessità di rafforzare le difese. La piattaforma SOC Prime cura un insieme di algoritmi di rilevamento per aiutare i difensori a identificare tempestivamente attività sospette legate al nuovo spyware persistente per macOS “Cuckoo”, che ha anche capacità di sottrazione di informazioni.
I rilevamenti sono mappati al framework MITRE ATT&CK® v.14.1 e arricchiti con metadati approfonditi. Per accelerare le operazioni di Detection Engineering, è possibile convertire automaticamente il codice di rilevamento in vari formati SIEM, EDR e Data Lake.
Fai clic sul pulsante Esplora rilevamenti per accedere alle regole Sigma pertinenti filtrate dal tag “cuckoo malware” e aiutare la tua organizzazione a prevenire proattivamente gli attacchi mirati a macOS.
Analisi del Cuckoo Malware
I ricercatori di Kandji hanno recentemente scoperto un nuovo binario Mach-O dannoso abilmente creato per imitare le funzionalità di spyware e di infostealer. I difensori hanno chiamato il nuovo malware “Cuckoo”, ispirandosi al comportamento del cuculo, che depone le sue uova nei nidi di altri uccelli, sfruttando le loro risorse a beneficio della propria prole.
Il metodo preciso di distribuzione del malware rimane attualmente incerto. Tuttavia, i ricercatori hanno identificato che il binario Mach-O dannoso è ospitato su un insieme di siti web che distribuiscono sia versioni gratuite che a pagamento di applicazioni specializzate nell’estrazione di musica da servizi di streaming e nella sua conversione in formato MP3.
Una volta scaricato il file immagine disco da questi siti web, viene attivata una shell bash. Gli attaccanti usano quest’ultima per raccogliere dati sul sistema host e per garantire che il sistema colpito abbia località diverse da Armenia, Kazakistan, Russia, Bielorussia o Ucraina prima di eseguire il binario dannoso.
I ceppi di malware che sottraggono informazioni normalmente non stabiliscono la persistenza, caratteristica più tipica degli spyware. Tuttavia, il Cuckoo malware recentemente identificato ha mostrato un comportamento così insolito. Cuckoo sfrutta un LaunchAgent per la persistenza, un metodo precedentemente utilizzato da varie famiglie di malware, come XLoader, JaskaGO o RustBucket.
Per l’escalation dei privilegi, Cuckoo utilizza osascript per presentare un falso prompt di password simile al macOS malware MacStealer. Il malware Cuckoo impiega tattiche sofisticate e può eseguire una serie di comandi per raccogliere informazioni sull’hardware, catturare i processi in esecuzione, cercare applicazioni installate e raccogliere dati da fonti diverse, inclusi browser web, portafogli di criptovalute e applicazioni software popolari. Il malware utilizza i socket e l’API curl per comunicare con il suo server C2.
In particolare, ogni applicazione armata scoperta possiede un bundle applicativo aggiuntivo nella sua directory di risorse. I difensori suggeriscono che ci potrebbero essere più siti web e applicazioni che distribuiscono Cuckoo ancora da scoprire, il che sottolinea la necessità di misure difensive proattive.
Affidati al completo suite di prodotti di SOC Prime per Detection Engineering potenziata con l’IA, Automazione della Caccia alle Minacce e Validazione dello Stack di Rilevamento per prevenire intrusioni e mantenere sempre il polso del panorama digitale in continua evoluzione.
