Cuckoo マルウェア検出: インテルとARMベースのMacを狙う新型macOSスパイウェア＆情報盗用ツール

サイバーセキュリティ研究者は最近、「カッコウマルウェア」と名付けられた新しい悪意のあるマルウェアを発見しました。このマルウェアはスパイウェアと情報窃盗機能を模倣し、IntelとArmベースのMacコンピュータの両方で実行可能です。

カッコウマルウェアの検出

進行中の情報窃盗攻撃の急増 macOSマルウェア 防御を強化する必要性を高めています。SOC Primeプラットフォームは、ディフェンダーが新しい「カッコウ」マルウェアのmacOSスパイウェアに関連する疑わしい活動をタイムリーに特定できるように、検出アルゴリズムのセットをキュレートしています。これには情報窃盗機能も含まれています。

検出は MITRE ATT&CK® フレームワーク v.14.1 にマップされ、詳細なメタデータが付加されています。検出エンジニアリングの操作を加速するために、検出コードを複数のSIEM、EDR、Data Lakeフォーマットに自動的に変換することも可能です。

をクリックして 検出を探索 「カッコウマルウェア」タグでフィルタされた関連するSigmaルールにアクセスし、macOSを標的とする攻撃をプロアクティブに防ぐのに役立ててください。

検出を探索

カッコウマルウェア分析

Kandjiの研究者 は最近、スパイウェアと情報窃盗の機能を巧妙に模倣する新しい悪意のあるMach-Oバイナリを発見しました。この新しいマルウェアを「カッコウ」と呼び、その名前は他の鳥の巣に卵を産み付け、その資源を利用して次世代を育てるカッコウの行動に由来しています。

マルウェアの正確な配布方法は現在不明ですが、研究者は、悪意のあるMach-Oバイナリがストリーミングサービスから音楽を抽出してMP3形式に変換する、無料版と有料版の両方のアプリケーションを提供する一連のウェブサイトでホストされていることを確認しました。

これらのウェブサイトからディスクイメージファイルをダウンロードすると、bashシェルが生成されます。攻撃者はこのシェルを利用してホストシステムに関するデータを収集し、影響を受けたシステムがアルメニア、カザフスタン、ロシア、ベラルーシ、またはウクライナ以外の場所にあることを確認してから、悪意のあるバイナリを実行します。

情報窃盗の悪意のあるマルウェアは通常、永続性を確立しませんが、これはスパイウェアの方が典型的です。しかし、最近特定されたカッコウマルウェアは、そのような珍しい動作を示しています。カッコウは永続性を確立するために、さまざまなマルウェアファミリ、例えば XLoader、JaskaGO、RustBucketなどで以前に使用された方法、LaunchAgentを利用します。

特権の昇格には、osascriptを利用して、 MacStealer macOSマルウェアに類似した欺瞞的なパスワードプロンプトを提示します。カッコウマルウェアは、洗練された戦術を駆使して、ハードウェア情報を収集し、実行中のプロセスをキャプチャし、インストールされたアプリケーションを検索し、ウェブブラウザ、暗号通貨ウォレット、一般的なソフトウェアアプリケーションなど、多様なソースからデータを収集できます。このマルウェアはソケットとcurl APIを利用してC2サーバーへの通信を行います。

特筆すべきは、発見された各武器化されたアプリケーションが、そのリソースディレクトリ内に追加のアプリケーションバンドルを持っていることです。ディフェンダーは、まだ発見されていないウェブサイトやアプリケーションがカッコウを配布している可能性があり、積極的な防御策の必要性を強調しています。

に依存 SOC Primeの包括的な製品スイート を利用して、AIを活用した検出エンジニアリング、自動化された脅威ハンティング、検出スタック検証を行い、侵入を未然に防ぎ、常にデジタルラ​​ンドスケープの変化に対応し続けましょう。