Ιδιαίτερα προσεκτικοί θα πρέπει να είναι οι χρήστες της Apple, καθώς οι χάκερ στοχεύουν συσκευές Mac, που λειτουργούν τόσο με Intel όσο και με ARM, με ένα ολοκαίνουριο κακόβουλο λογισμικό infostealer.
Η εταιρεία ασφάλειας για Mac, Kandji, ανακάλυψε το κακόβουλο λογισμικό και το ονόμασε «Cuckoo». «Αυτό το κακόβουλο λογισμικό αναζητά συγκεκριμένα αρχεία που σχετίζονται με συγκεκριμένες εφαρμογές, σε μια προσπάθεια να συγκεντρώσει όσο το δυνατόν περισσότερες πληροφορίες από το σύστημα», αναφέρουν οι ερευνητές στην έκθεσή τους.
Μεταξύ των πληροφοριών που αντλεί είναι πληροφορίες υλικού, τρέχουσες διεργασίες που εκτελούνται και εγκατεστημένες εφαρμογές. Επιπλέον, το Cuckoo είναι ικανό να λαμβάνει στιγμιότυπα οθόνης, να συλλέγει δεδομένα από iCloud Keychains, σημειώσεις της Apple, προγράμματα περιήγησης στο διαδίκτυο, διάφορες εφαρμογές (Discord, Telegram, Steam και άλλες) και πορτοφόλια κρυπτονομισμάτων.
Για τη διανομή του κακόβουλου λογισμικού, οι απειλητικοί φορείς δημιούργησαν έναν αριθμό κακόβουλων ιστότοπων, όπου ο κώδικας διαφημίζεται ως πρόγραμμα για την αντιγραφή τραγουδιών από υπηρεσίες streaming μουσικής και τη μετατροπή των τραγουδιών αυτών σε αρχεία MP3. Διαφημίζεται επίσης ότι διαθέτει τόσο μια δωρεάν όσο και μια επί πληρωμή έκδοση.
Ρώσοι ή Κινέζοι χάκερ πίσω από το «Cuckoo»;
Αν και οι ερευνητές δεν απέδωσαν ρητά την εκστρατεία σε κάποιον συγκεκριμένο φορέα απειλής, σημείωσαν ότι το νέο infostealer αποτυγχάνει να εκτελεστεί εάν η μολυσμένη συσκευή βρίσκεται στην Αρμενία, τη Λευκορωσία, το Καζακστάν, τη Ρωσία και την Ουκρανία, γεγονός που ενδεχομένως υποδηλώνει μια σχέση με τη Ρωσία.
Το κακόβουλο λογισμικό υπογράφηκε με ένα νόμιμο κινεζικό αναγνωριστικό προγραμματιστή που μαρτυρά ότι μπορεί να προέρχεται από χάκερ της Κίνας.
«Κάθε κακόβουλη εφαρμογή περιέχει ένα άλλο πακέτο εφαρμογών μέσα στον κατάλογο πόρων. Όλα αυτά τα πακέτα (εκτός από αυτά που φιλοξενούνται στο fonedog[.]com) είναι υπογεγραμμένα και έχουν έγκυρο αναγνωριστικό προγραμματιστή Yian Technology Shenzhen Co., Ltd (VRBJ4VRP)» δήλωσαν οι ερευνητές.
«Ο ιστότοπος fonedog[.]com φιλοξένησε μεταξύ άλλων ένα εργαλείο ανάκτησης Android- το πρόσθετο πακέτο εφαρμογών σε αυτό έχει αναγνωριστικό προγραμματιστή της FoneDog Technology Limited (CUAU2GTG98)» πρόσθεσαν.