นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Kandji ได้ค้นพบมัลแวร์ใหม่ชื่อว่า Cuckoo ที่มีเป้าหมายไปที่ระบบ Apple macOS ซึ่งได้รับการออกแบบมาเพื่อการคงอยู่บนโฮสต์ที่ติดมัลแวร์และทำหน้าที่เป็นสปายแวร์ โดย Cuckoo ใช้เป็น  Mach-O Binary ซึ่งสามารถรันบน CPU macOS ได้ทั้งแบบ Intel และ ARM

การแพร่กระจายมัลแวร์ยังไม่มีการบ่งชี้ที่แน่นอน แต่สามารถแพร่ผ่านเว็บ dumpmedia[.]com, tunesolo[.]com, fonedog[.]com, tunesfun[.]com และ tunefab[.]com จากการดาวน์โหลดและติดตั้งแอปพลิเคชันเวอร์ชันฟรีและมีค่าใช้จ่ายสำหรับการตัดเพลงจากบริการสตรีมมิ่งและแปลงเป็นรูปแบบ MP3

หลังจากที่แอปถูกรัน จะมีการรัน Bash Shell เพื่อเก็บข้อมูลของเครื่อง และจะไม่มีการรันโค้ดอันตรายต่อหากตรวจสอบว่าเครื่องอยู่ในประเทศ Armenia, Belarus, Kazakhstan, Russia และ Ukraine นอกจากนี้ยังสร้างการคงอยู่ (Persistence) โดยใช้ LaunchAgent และทำการยกระดับสิทธิ์ (Privilege Escalation) โดยใช้ osascript เพื่อหลอกให้ผู้ใช้ป้อนรหัสผ่านหน้าต่างใส่รหัสปลอม

Cuckoo สามารถขโมยข้อมูลจากอุปกรณ์ที่ติดมัลแวร์ รวมถึงข้อมูลฮาร์ดแวร์ กระบวนการที่กำลังทำงานอยู่ แอปที่ติดตั้ง จับภาพหน้าจอ และข้อมูลจาก iCloud Keychain, Apple Notes, เว็บเบราว์เซอร์, กระเป๋าเงินคริปโต และแอปต่างๆ เช่น Discord, FileZilla, Steam และ Telegram

Application ที่เป็นอันตรายแต่ละ Application มี Application Bundle อื่นภายในไดเร็กทอรี Bundle ทั้งหมดยกเว้นที่โฮสต์บน fonedog[.]com ได้รับการลงนามและมี ID นักพัฒนาที่ถูกต้องของ Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) ส่วนเว็บไซต์ fonedog[.]com โฮสต์เครื่องมือการกู้คืน Android ชุดนี้มี ID นักพัฒนาของ FoneDog Technology Limited (CUAU2GTG98)

วิธีป้องกันและบรรเทาผลกระทบควรใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและกักกันมัลแวร์ Cuckoo ส่วนข้อมูล Indicators of Compromise (IOCs) สามารถดูจากเว็บของ Kandji ได้เลย

อ้างอิง:

https://thehackernews.com/2024/05/new-cuckoo-persistent-macos-spyware.html

https://blog.kandji.io/malware-cuckoo-infostealer-spyware

‍