Expertos en seguridad informática han identificado un nuevo tipo de software malicioso diseñado para robar información en sistemas macOS de Apple. Nombrado como Cuckoo, este malware se presenta en forma de binario universal Mach-O, lo que significa que puede ejecutarse en Mac tanto basados en Intel como en la nueva generación.
El método de distribución no está completamente claro, aunque hay señales que sugieren que el binario se encuentra alojado en diversos sitios web como dumpmedia[.] com, tunesolo[.] com, fonedog[.] com, tunesfun[.] com y tunefab[.] com, que aparentan ofrecer versiones gratuitas y de pago de aplicaciones destinadas a extraer música de servicios de transmisión y convertirla a formato MP3.
El archivo descargado desde estos sitios web es responsable de crear un shell bash para recopilar información del dispositivo. Además, el malware establece su persistencia mediante el uso de un LaunchAgent (técnica empleada por malware como RustBucket, XLoader, JaskaGO y Backdoor de macOS que comparte similitudes con ZuRu).
Cuckoo, al igual que el malware MacStealer, hace uso de osascript para mostrar una solicitud de contraseña falsa, para engañar a los usuarios y así elevar los privilegios.
Este malware extrae datos de hardware, registra los procesos en ejecución, verifica las aplicaciones instaladas, realiza capturas de pantalla, recopila información de los llaveros de iCloud, Apple Notes, navegadores web, carteras de criptomonedas y aplicaciones como Discord, FileZilla, Steam y Telegram.
Fuente:
Nuevo spyware persistente de macOS ‘Cuckoo’ dirigido a Mac Intel y Arm
Ciberprisma - alianza por la ciberseguridad 