按 Enter 到主內容區
:::

TWCERT-電子報

:::

MAC惡意軟體 Cuckoo 偽裝成音樂轉換程式,竊取密碼與個人資料

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-05-30
  • 點閱次數:221
cuckoo

Cuckoo惡意程式透過偽裝成音樂轉載程式,引誘使用者下載檔案,攻擊 macOS的用戶,以竊取使用者密碼、歷史瀏灠紀錄、加密貨幣錢包詳細訊息等。

資安研究人員 Kandji 最近發現專門針對 Apple macOS 系統的新型資訊竊取程式「Cuckoo」,這款惡意程式偽裝成音樂轉換應用程式,聲稱可擷取串流媒體上的音樂,並轉換為mp3格式,其程式可以在Apple MAC的Intel及ARM-based環境架構中執行。2024 年 4 月 24 日,研究人員發現了一個具有間諜軟體及竊取訊息行為的惡意 Mach-O 二進位檔案,其應用程式的名稱為 “DumpMedia Spotify Music Converter” 。該惡意軟體最初在 dumpmediacom網站下載Spotify 時被檢測到,後來發現在也存在其他網站上的免費和付費版本。

Cuckoo 偽裝成可以將 Spotify 的音樂轉換為 MP3 的工具,安裝應用程式後,它會開始竊取資料,包括 macOS 鑰匙圈內容、歷史瀏覽記錄、應用程式的訊息、加密貨幣錢包詳細訊息和身份驗證的憑證。Cuckoo也會取得使用者的截圖檔案、網絡攝影機的快照和 WhatsApp、Telegram 等應用程式的資料。

為了獲取更多資料,它進一步要求使用者打開沒有經過驗證的簽名或開發者 ID 的應用程式,以收集主機硬體資訊並確認使用者的位置。如果使用者選擇同意後續的要求,該惡意軟體將可取得Finder、麥克風和下載檔案的權限。

雖然該攻擊活動尚未明確歸因於任何特定的攻擊組織,但研究人員發現它不會攻擊亞美尼亞、白俄羅斯共和國、哈薩克、俄羅斯和烏克蘭的設備。Cuckoo 使用 LaunchAgent 方式持續建立連線,這與 RustBucket、XLoader、JaskaGO 以及 ZuRu 等後門功能相似。

避免Cuckoo惡意軟體攻擊,建議使用者應謹慎下載應用程式,避免不受信任的來源,仔細檢查電子郵件及其附件,並使用可靠的防毒軟體和防惡意程式的解決方案。

回頁首