Alcuni hacker hanno preso di mira i dispositivi Mac con processori Intel e ARM con un nuovo malware infostealer. Il fornitore di sicurezza per Mac Kandji ha scoperto il malware e lo ha soprannominato Cuckoo. "Questo malware cerca file specifici associati ad applicazioni specifiche, nel tentativo di raccogliere quante più informazioni possibili dal sistema", hanno dichiarato i ricercatori nel loro rapporto.
Tra le informazioni raccolte vi sono quelle relative all'hardware, ai processi in esecuzione e alle applicazioni installate. Inoltre, Cuckoo è in grado di scattare schermate, raccogliere dati dai portachiavi di iCloud, dalle note di Apple, dai browser web, da diverse app (Discord, Telegram, Steam e altre) e dai portafogli di criptovalute.
Russia o Cina?
Per distribuire il malware, gli attori della minaccia hanno creato una serie di siti dannosi, in cui il codice viene pubblicizzato come un programma per strappare la musica dai servizi di streaming e convertirla in .MP3. Inoltre, viene pubblicizzato come un programma che ha sia una versione gratuita che una a pagamento.
Sebbene i ricercatori non abbiano attribuito esplicitamente la campagna a un particolare attore delle minacce, hanno notato che l'infostealer non viene eseguito se il dispositivo infetto si trova in Armenia, Bielorussia, Kazakistan, Russia e Ucraina, forse suggerendo un'affiliazione con la Russia. Tuttavia, hanno anche notato che Cuckoo stabilisce la persistenza tramite LaunchAgent, già visto in RustBucket, XLoader, JaskaGO e in una backdoor simile a ZuRu - un attore di minacce cinese.
Ad aggiungere ulteriore credito alla teoria cinese è il fatto che il malware è stato firmato con un ID sviluppatore cinese legittimo:
"Ogni applicazione dannosa contiene un altro bundle di applicazioni all'interno della directory delle risorse", hanno dichiarato i ricercatori. "Tutti questi bundle (tranne quelli ospitati su fonedog[.]com) sono firmati e hanno un ID sviluppatore valido di Yian Technology Shenzhen Co., Ltd (VRBJ4VRP)".
"Il sito web fonedog[.]com ospitava, tra le altre cose, uno strumento di recupero Android; il pacchetto di applicazioni aggiuntive in questo ha un ID sviluppatore di FoneDog Technology Limited (CUAU2GTG98)".
