MAC惡意軟體 Cuckoo 偽裝成音樂轉換程式,竊取密碼與個人資料

來源
台灣電腦網路危機處理暨協調中心

內容
資安研究人員 Kandji 最近發現專門針對 Apple macOS 系統的新型資訊竊取程式「Cuckoo」,這款惡意程式偽裝成音樂轉換應用程式,聲稱可擷取串流媒體上的音樂,並轉換為mp3格式,其程式可以在Apple MAC的Intel及ARM-based環境架構中執行。2024 年 4 月 24 日,研究人員發現了一個具有間諜軟體及竊取訊息行為的惡意 Mach-O 二進位檔案,其應用程式的名稱為 “DumpMedia Spotify Music Converter”。該惡意軟體最初在 dumpmediacom網站下載Spotify 時被檢測到,後來在其他網站上的免費和付費版本也發現存在該程式。
Cuckoo 偽裝成可以將 Spotify 的音樂轉換為 MP3 的工具,安裝應用程式後,它會開始竊取資料,包括 macOS 鑰匙圈內容、瀏覽歷史記錄、應用程式的訊息、加密貨幣錢包詳細訊息和身份驗證的憑證。Cuckoo也會取得使用者的截圖檔案、網絡攝影機的快照和 WhatsApp、Telegram 等應用程式的資料。
為了獲取更多資料,它進一步要求使用者打開沒有經過驗證的簽名或開發者 ID 的應用程式,以收集主機硬體資訊並確認使用者的位置。如果使用者選擇同意後續的要求,該惡意軟體將可取得Finder、麥克風和下載檔案的權限。
雖然該攻擊活動尚未明確歸因於任何特定的攻擊組織,但研究人員發現它不會攻擊亞美尼亞、白俄羅斯共和國、哈薩克、俄羅斯和烏克蘭的設備。Cuckoo 使用 LaunchAgent 方式持續建立連線,這與 RustBucket、XLoader、JaskaGO 以及 ZuRu 等後門功能相似。
避免Cuckoo惡意軟體攻擊,建議使用者應謹慎下載應用程式,避免不受信任的來源,仔細檢查電子郵件及其附件,並使用可靠的防毒軟體和防惡意程式的解決方案。