Detecção de Malware Cuckoo: Novo Spyware e Ladrão de Informações para macOS Alvejando Macs com Processadores Intel e ARM
Índice:
Pesquisadores de cibersegurança descobriram recentemente uma nova cepa maliciosa denominada malware Cuckoo, que imita as capacidades de um spyware e de um infostealer e pode rodar em computadores Mac baseados em Intel e Arm.
Detectar Malware Cuckoo
O aumento dos ataques de roubo de informações em curso utilizando malware macOS reforça a necessidade de fortalecer as defesas. A plataforma SOC Prime reúne um conjunto de algoritmos de detecção para ajudar os defensores a identificar oportunamente atividades suspeitas relacionadas ao novo spyware persistente “Cuckoo” para macOS, que também possui capacidades de roubo de informações.
As detecções são mapeadas no MITRE ATT&CK® framework v.14.1 e enriquecidas com metadados detalhados. Para acelerar as operações de Engenharia de Detecção, você também pode converter automaticamente o código de detecção em múltiplos formatos de SIEM, EDR e Data Lake.
Clique no Explorar Detecções botão para acessar regras Sigma relevantes filtradas pela tag “cuckoo malware” e ajudar sua organização a prevenir proativamente ataques direcionados ao macOS.
Análise de Malware Cuckoo
Pesquisadores da Kandji recentemente se depararam com um novo binário malicioso Mach-O habilmente projetado para imitar as funcionalidades de um spyware e de um infostealer. Os defensores chamaram o novo malware de “Cuckoo”, inspirando-se no comportamento do pássaro Cuco, que põe seus ovos nos ninhos de outros pássaros, explorando seus recursos em benefício de sua prole.
O método exato de distribuição do malware permanece atualmente incerto. No entanto, pesquisadores identificaram que o binário malicioso Mach-O está sendo hospedado em um conjunto de sites que oferecem versões gratuitas e pagas de aplicativos especializados na extração de música de serviços de streaming e na conversão para o formato MP3.
Ao baixar o arquivo de imagem do disco desses sites, um shell bash é acionado. Os atacantes usam esse último para coletar dados sobre o sistema host e para garantir que o sistema afetado tenha localizações diferentes da Armênia, Cazaquistão, Rússia, Bielorrússia ou Ucrânia antes de executar o binário malicioso.
Cepas maliciosas de roubo de informações normalmente não estabelecem persistência, o que é mais típico em spywares. No entanto, o recentemente identificado malware Cuckoo foi observado apresentando esse comportamento incomum. O Cuckoo utiliza um LaunchAgent para persistência, um método anteriormente empregado por várias famílias de malware, como XLoader, JaskaGO ou RustBucket.
Para escalonamento de privilégios, Cuckoo utiliza o osascript para apresentar um prompt de senha enganoso similar ao malware MacStealer para macOS. O malware Cuckoo emprega táticas sofisticadas e pode executar uma série de comandos para reunir informações de hardware, capturar processos em execução, buscar por aplicativos instalados e coletar dados de fontes diversas, incluindo navegadores web, carteiras de criptomoeda e aplicativos de software populares. O malware utiliza sockets e a API curl para comunicação de volta ao seu servidor C2.
Notavelmente, cada aplicativo armado descoberto abriga um pacote de aplicativos adicional dentro de seu diretório de recursos. Os defensores sugerem que podem haver mais sites e aplicativos distribuindo o Cuckoo que ainda não foram descobertos, o que reforça a necessidade de medidas defensivas proativas.
Confie na completa suíte de produtos da SOC Prime para Engenharia de Detecção impulsionada por IA, Caça de Ameaças Automatizada e Validação de Stack de Detecção para prevenir intrusões e sempre manter o dedo no pulso do cenário digital em constante evolução.
