Los investigadores de ciberseguridad han detectado un nuevo programa malicioso dirigido a sistemas macOS de Apple, diseñado para robar información y actuar como spyware. Apodado Cuckoo por Kandji, este malware es un binario universal Mach-O, capaz de funcionar en Macs basados tanto en Intel como en M1.

Aunque no está claro cómo se distribuye exactamente, hay señales de que el binario se aloja en sitios como dumpmedia[.] com, tunesolo[.] com, fonedog[.] com, tunesfun[.] com y tunefab[.] com, que supuestamente ofrecen versiones gratuitas y de pago de aplicaciones para extraer música de servicios de streaming y convertirla a MP3.

El archivo de imagen de disco descargado de estos sitios genera un shell bash para recopilar información del host y asegurarse de que la máquina comprometida no esté en ciertos países. El malware solo se ejecuta si la comprobación de la configuración regional se completa con éxito.

Además, establece la persistencia mediante un LaunchAgent, una técnica utilizada por otras familias de malware como RustBucket, XLoader, JaskaGO y una puerta trasera de macOS conocida como ZuRu.

Cuckoo, similar a otro malware llamado MacStealer macOS, utiliza osascript para mostrar solicitudes de contraseña falsas, engañando a los usuarios para que ingresen sus contraseñas y así obtener privilegios elevados.

Según los investigadores Adam Kohler y Christopher López, este malware busca archivos asociados con aplicaciones específicas para recopilar la mayor cantidad posible de información del sistema. Puede ejecutar comandos para extraer información de hardware, capturar procesos en ejecución, consultar aplicaciones instaladas, tomar capturas de pantalla y recopilar datos de iCloud Keychain, Apple Notes, navegadores web, billeteras criptográficas y aplicaciones como Discord, FileZilla, Steam y Telegram.

Cada aplicación maliciosa contiene un paquete de aplicaciones dentro del directorio de recursos. Estos paquetes, excepto los alojados en fonedog[.] com, están firmados y tienen un ID de desarrollador válido de Yian Technology Shenzhen Co., Ltd (VRBJ4VRP).

El sitio web fonedog[.] com alojó una herramienta de recuperación de Android y tiene un ID de desarrollador de FoneDog Technology Limited (CUAU2GTG98).

Esta revelación llega poco después de que la compañía de gestión de dispositivos Apple expusiera otro malware llamado CloudChat, que se hace pasar por una aplicación de mensajería y compromete a usuarios de macOS cuyas direcciones IP no están geolocalizadas en China. Este malware roba claves privadas y datos de billeteras de criptomonedas.

También se ha descubierto una nueva variante del malware AdLoad, llamada Rload o Lador, que evade la lista de firmas de malware XProtect de Apple y está diseñada para arquitectura Intel x86_64. Estos binarios actúan como goteros iniciales para cargar la próxima etapa del malware y se distribuyen a menudo a través de aplicaciones crackeadas o troyanizadas en sitios web maliciosos.

AdLoad, una campaña de adware que afecta a macOS desde 2017, inyecta anuncios en páginas web y secuestra resultados de motores de búsqueda para obtener ganancias monetarias a través de un proxy web.

fuente:thehackernews