• 發布單位:TWCERT/CC
• 更新日期:2024-07-16
• 點閱次數:4117

Cuckoo惡意程式透過偽裝成音樂轉載程式，引誘使用者下載檔案，攻擊 macOS的用戶，以竊取使用者密碼、歷史瀏灠紀錄、加密貨幣錢包詳細訊息等。

Kandji的資安研究人員最近發現專門針對 Apple macOS 系統的新型資訊竊取程式「Cuckoo」，這款惡意程式偽裝成音樂轉換應用程式，聲稱可擷取串流媒體上的音樂，並轉換為mp3格式，其程式可以在Apple MAC的Intel及ARM-based環境架構中執行。2024 年 4 月 24 日，研究人員發現了一個具有間諜軟體及竊取訊息行為的惡意 Mach-O 二進位檔案，其應用程式的名稱為 “DumpMedia Spotify Music Converter” 。該惡意軟體最初在 dumpmediacom網站下載Spotify 時被檢測到，後來發現在也存在其他網站上的免費和付費版本。

Cuckoo 偽裝成可以將 Spotify 的音樂轉換為 MP3 的工具，安裝應用程式後，它會開始竊取資料，包括 macOS 鑰匙圈內容、歷史瀏覽記錄、應用程式的訊息、加密貨幣錢包詳細訊息和身份驗證的憑證。Cuckoo也會取得使用者的截圖檔案、網絡攝影機的快照和 WhatsApp、Telegram 等應用程式的資料。

為了獲取更多資料，它進一步要求使用者打開沒有經過驗證的簽名或開發者 ID 的應用程式，以收集主機硬體資訊並確認使用者的位置。如果使用者選擇同意後續的要求，該惡意軟體將可取得Finder、麥克風和下載檔案的權限。

雖然該攻擊活動尚未明確歸因於任何特定的攻擊組織，但研究人員發現它不會攻擊亞美尼亞、白俄羅斯共和國、哈薩克、俄羅斯和烏克蘭的設備。Cuckoo 使用 LaunchAgent 方式持續建立連線，這與 RustBucket、XLoader、JaskaGO 以及 ZuRu 等後門功能相似。

避免Cuckoo惡意軟體攻擊，建議使用者應謹慎下載應用程式，避免不受信任的來源，仔細檢查電子郵件及其附件，並使用可靠的防毒軟體和防惡意程式的解決方案。