Cuckoo: новый macOS-шпион выборочно атакует яблочные компьютеры

Cuckoo: новый macOS-шпион выборочно атакует яблочные компьютеры

Как СНГ-пользователям удалось получить полный иммунитет от воздействия вредоноса?

image

Исследователи из компании Kandjii выявили новое вредоносное ПО под названием Cuckoo («кукушка» в дословном переводе), нацеленное на системы Apple macOS. Данный зловредный софт не только обеспечивает постоянное присутствие в заражённых системах, но и выполняет ряд опасных шпионских функций.

Cuckoo представляет собой универсальный бинарный файл в формате Mach-O, способный функционировать на компьютерах Apple с процессорами Intel и Arm. Пока точные методы распространения этого вируса неясны, однако было замечено, что вредоносная программа распространяется через несколько сайтов, таких как «dumpmedia[.]com» и «tunesfun[.]com», предлагающих как бесплатные, так и платные приложения для скачивания музыки со стриминговых сервисов.

Загружаемый с данных сайтов DMG-файл активирует bash-скрипт, собирающий информацию о системе и проверяющий, не находится ли компьютер жертвы в России, Беларуси, Казахстане, Армении или Украине. Вирус активируется только в том случае, если скомпрометированное устройство располагается в любой другой стране.

Cuckoo использует также технику LaunchAgent для обеспечения постоянства в системе, аналогичную методам, ранее использованным другими семействами вредоносного ПО. К тому же, вирус применяет инструмент «osascript» для отображения поддельного запроса пароля, пытаясь получить от пользователя повышенные системные привилегии.

По данным Адама Колера и Кристофера Лопеса, исследователей компании Kandjii, вредонос Cuckoo активно ищет файлы определённых приложений для максимально эффективного сбора информации из системы. Так, вирус способен извлекать данные о железе, текущих процессах, установленных приложениях, делать скриншоты и извлекать данные из iCloud Keychain, встроенного приложения заметок, браузеров, криптокошельков и приложений, таких как Discord, FileZilla, Steam и Telegram.

Это открытие следует за недавним обнаружением Kandjii другого вредоносного ПО под названием CloudChat, которое маскируется под приложение для защищённого обмена сообщениями и атакует пользователей macOS, чьи IP-адреса не указывают на нахождение в Китае.

Таким образом, для защиты своих устройств важно устанавливать только программное обеспечение из заслуживающих доверия источников, регулярно обновлять операционную систему и антивирусные программы, а также следить за разрешениями, запрашиваемыми приложениями. Тем временем, повышенная бдительность и осведомлённость об актуальных киберугрозах позволит дополнительно обезопасить свои устройства и данные.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь