Opasni novi malver cilja Mac računare svih vrsta i krade vaše informacije

Ukoliko koristite neki od Mac računara, budite oprezni sa softverom za konverziju .MP3 formata, jer je primećen novi malver pod nazivom Cuckoo (u prevodu Kukavica) koji na taj način krade vaše informacije. Hakeri preko njega ciljaju sve vrste Mac uređaja, kako sa Intel, tako i sa ARM procesorima.

Kompanija koja se bavi zaštitom Apple sistema Kandji otkrila je ovaj zlonamerni softver i objasnila da on traži određene fajlove povezane sa pojedinim aplikacijama na Mac računarima, u pokušaju da prikupi što više informacija iz sistema.

Među informacijama koje malver trenutno prikuplja su one o hardveru, trenutno pokrenutim procesima i instalirane aplikacije. Osim toga, Cuckoo je sposoban da pravi slike ekrana, prikuplja podatke iz iCloud ključeva, Apple beleški, veb pregledača, novčanika za kriptovalute, ali i iz različitih aplikacija kao što su Discord, Telegram, Steam i druge.

Kako radi novi malver

Da bi distribuirali malver, hakerski timovi su postavili nekoliko zlonamernih sajtova, gde se zlonamerni softver reklamira kao program za konvertovanje muzike sa striming servisa u .MP3 format. On takođe cilja vaše Mac računare i tako što je reklamiran kao softver sa besplatnom i plaćenom verzijom i može da deluje prilično uverljivo.

Shutterstock

Iako istraživači nisu eksplicitno pripisali ovaj talas sajber napada određenom hakerskom timu, napomenuli su da malver ne može da se pokrene ako je zaraženi uređaj lociran u Jermeniji, Belorusiji, Kazahstanu, Rusiji i Ukrajini, što možda ukazuje na povezanost sa Rusijom.

Međutim, takođe su primetili da Cuckoo uspostavlja postojanost putem LaunchAgenta, što je već viđeno u RustBucket-u, XLoader-u, JaskaGO-u i backdoor softveru kao što je ZuRu, poreklom iz Kine.

Dodatna potvrda teoriji o povezanosti sa Kinom je činjenica da je Cuckoo malver potpisan sa legitimnim kineskim ID-om programera.

„Svaka zlonamerna aplikacija sadrži drugi paket aplikacija unutar resursnog direktorijuma…Svi ti paketi (osim onih hostovanih na fonedog[.]com) su potpisani i imaju važeći ID od kompanije Yian Technology Shenzhen Co., Ltd (VRBJ4VRP)“, piše u izveštaju kompanije koji je primetio TheHackerNews.