Minaccia sconosciuta per macOS che ruba dati: Cuckoo

Malware Cuckoo: la nuova minaccia per macOS che ruba dati sensibili

I ricercatori di sicurezza hanno recentemente scoperto una nuova minaccia malware per macOS, denominata “Cuckoo”. Questo malware è un infostealer e spyware che infiltra i sistemi e ruba risorse per i propri scopi.

Cuckoo: infiltrazione e evasione

Il malware Cuckoo si diffonde attraverso un’immagine disco (DMG) scaricata dal sito web dumpmedia[.]com. Una volta installato, esegue una serie di controlli per evitare la rilevazione e determinare se il sistema infetto è un bersaglio valido. Cuckoo è in grado di eseguire controlli sulla UUID del sistema e sulle impostazioni locali del dispositivo. In particolare, evita di infettare i sistemi situati in Armenia, Belarus, Kazakhstan, Russia e Ucraina.

Se il sistema è considerato un bersaglio valido, Cuckoo avvia le sue routine di esfiltrazione dei dati e di sorveglianza. Il malware è programmato per rubare una vasta gamma di informazioni sensibili, tra cui:

• Dati della Keychain che contengono password e chiavi crittografiche
• Capture dello schermo e snapshot della webcam
• Cronologia di navigazione e cookie
• Dati delle app di messaggistica come WhatsApp e Telegram
• Dettagli dei portafogli crittografici
• Chiavi SSH e altre credenziali di autenticazione

I dati rubati vengono quindi esfiltrati verso un server di comando e controllo gestito dagli operatori del malware.

Per mantenere una presenza persistente, Cuckoo installa un agente di avvio che persiste attraverso i riavvii. Utilizza anche tecniche di evasione, come l’cifrare il traffico di rete e far funzionare i componenti dannosi solo se vengono soddisfatte determinate condizioni.

Prevenzione e risposta

Le aziende di sicurezza come Kandji hanno aggiornato le loro rilevazioni per identificare e bloccare Cuckoo. Tuttavia, per prevenire tali minacce, è necessario adottare un approccio di difesa a strati:

• Mantenere il software aggiornato e patchato
• Utilizzare strumenti antimalware affidabili
• Evitare di scaricare app da fonti non attendibili
• Implementare soluzioni di rilevamento e risposta degli endpoint (EDR)

Se il sistema è infetto, le organizzazioni dovrebbero avviare le procedure di risposta agli incidenti, isolando i sistemi interessati, modificando le credenziali esposte e lavorando per rimuovere Cuckoo e qualsiasi altro malware scoperto.

La scoperta di Cuckoo evidenzia l’aumento della sofisticazione delle minacce macOS e la necessità di controlli di sicurezza robusti, anche su piattaforme desktop. L’analisi di Kandji fornisce un’analisi dettagliata del funzionamento di Cuckoo per aiutare la comunità della cybersecurity a difendersi da questa minaccia invasiva.

Indicatori di compromissione (IoC)

DMG

• Spotify-music-converter.dmg: 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b

MACH-OS

• DumpMediaSpotifyMusicConverter: 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
• TuneSoloAppleMusicConverter: d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
• TuneFunAppleMusicConverter: 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
• FoneDogToolkitForAndroid: a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc

DOMAIN/IP

• http://146[.]70[.]80[.]123/static[.]php
• http://146[.]70[.]80[.]123/index[.]php
• http://tunesolo[.]com
• http://fonedog[.]com
• http://tunesfun[.]com
• http://dumpmedia[.]com
• http://tunefab[.]com

Fonte: https://cybersecuritynews.com/malware-cuckoo/