Cybersicherheitsforscher haben eine neue Malware namens Cuckoo entdeckt. Diese bösartige Software kombiniert Merkmale von Spionage- und Infostealing-Malware und zielt auf Macs mit Intel- und ARM-Prozessoren ab, um sensible Informationen zu stehlen.
Entdeckung und Analyse
Am 24. April 2024 wurde die Cuckoo-Malware zum ersten Mal in einer Mach-O-Binärdatei identifiziert, die sich als legitime Anwendung namens DumpMedia Spotify Music Converter tarnt. Sie behauptet, Musik von Spotify in das MP3-Format zu konvertieren.
Die Sicherheitsfirma Kandji stieß auf diese Malware, nachdem sie ungewöhnliches Verhalten bei einer von der Webseite dumpmedia[.]com heruntergeladenen Anwendung festgestellt hatte. Weitere Untersuchungen zeigten, dass ähnliche Malware auf Websites wie tunesolo[.]com, fonedog[.]com, tunesfun[.]com und tunefab[.]com ebenfalls angeboten wurde.
Bei der Untersuchung des Anwendungspakets entdeckten die Forscher eine verdächtige Mach-O-Binärdatei namens „upd“ im macOS-Ordner. Da Binärdateien normalerweise denselben Namen wie die Anwendung tragen, war „upd“ ein Hinweis auf ein Problem. Zudem war die Datei nur ad hoc signiert, ohne eine registrierte Entwickler-ID, was bedeutet, dass macOS’ Gatekeeper die Ausführung normalerweise blockieren würde.
Modus Operandi
Die Cuckoo-Malware führt eine regionale Prüfung durch, um bestimmte Regionen zu meiden: Armenien, Belarus, Kasachstan, Russland und die Ukraine. Nach Bestehen dieser Prüfung tarnt sie sich als legitimes Anwendungspaket und sichert sich durch einen LaunchAgent dauerhaften Zugriff, um auch nach einem Neustart aktiv zu bleiben.
Die Malware sammelt Informationen über Hardware, laufende Prozesse und installierte Anwendungen. Sie kann Screenshots machen und Daten aus verschiedenen Quellen wie iCloud Keychain, Apple Notes, Webbrowsern und Kryptowallets stehlen.
Spionage- und Diebstahlfähigkeiten
Cuckoo durchsucht gezielt Dateien verschiedener Anwendungen, kategorisiert die gesammelten Daten und sendet sie an einen Kontrollserver. Zu diesen Informationen gehören Passwörter, Systemdaten, Hostnamen und Benutzernamen.
Sicherheitsmaßnahmen
Um sich vor solchen Bedrohungen zu schützen, sollten Nutzer ihre Software stets aktualisieren, zuverlässige Antivirensoftware verwenden und Programme nur von vertrauenswürdigen Quellen herunterladen. Regelmäßige Virenscans können dabei helfen, Schadsoftware wie Cuckoo zu erkennen und zu entfernen.
Die Entdeckung dieser Malware unterstreicht die wachsende Bedrohung durch immer raffiniertere Angriffe auf macOS. Daher ist erhöhte Wachsamkeit und robuste Sicherheitsmaßnahmen entscheidend, um sensible Daten zu schützen.
Indikatoren für eine Kompromittierung
DMGs:
- Spotify-music-converter.dmg: 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b
Mach-O-Binärdateien:
- DumpMedia Spotify Music Converter: 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
- TuneSolo Apple Music Converter: d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
Domänen/IPs:
- http://146[.]70[.]80[.]123/static[.]php
- http://146[.]70[.]80[.]123/index[.]php
- http://tunesolo[.]com
- http://fonedog[.]com
- http://tunesfun[.]com
- http://dumpmedia[.]com
- http://tunefab[.]com
Die Forscher raten, wachsam zu bleiben und aktuelle Sicherheitsmaßnahmen umzusetzen, um diese Bedrohung abzuwehren.
