Cuckoo macOS zlonamjerni softver
Cuckoo je novi Mac zlonamjerni softver koji može da cilja i novije Mac računare sa Apple procesorima i starije Mac računare zasnovane na Intel procesorima. Ponaša se kao kombinacija zlonamjernog softvera za krađu informacija i špijunskog softvera, instalirajući agent za pokretanje koji je postojan i nakon ponovnog pokretanja, a koristi različite taktike izbjegavanja da bi održao stalno prisustvo.
CUCKOO ZLONAMJERNI SOFTVER
Cuckoo je vrsta macOS zlonamjernog softvera koji je identifikovala i analizirala kompanija za upravljanje uređajima Kandji. Ovaj zlonamjerni softver cilja i na novije Mac računare koji koriste Apple procesore kao i na starije Mac računare zasnovane na Intel procesorima, što ga čini značajnom prijetnjom za organizacije koje koriste ove platforme. Ovaj zlonamjerni softver naziv “Cuckoo” je dobio zbog ponašanja, koje predstavlja kombinaciju zlonamjernog softvera za krađu informacija i špijunskog softvera.
Distribucija
Primarni metod širenja zlonamjernog softvera Cuckoo je preko internet stranica za muzičku pirateriju. Zlonamjerni akteri prikrivaju zlonamjerni kôd kao legitimne aplikacije ili softver koji korisnici mogu da preuzmu sa ovih internet lokacija. Sigurnosni istraživači su otkrili zlonamjerni Mach-O binarnu datoteku na VirusTotal platformi pod nazivom “DumpMedia Spotify Music Converter”. Ovaj program se distribuirao sa internet domene pod nazivom dumpmedia[. ]com, koja nudi više aplikacija koje pomažu korisnicima da piraterizuju muziku sa servisa za reprodukovanje u realnom vremenu (eng. streaming) tako što ih pretvaraju u MP3 datoteke.
Međutim, važno je napomenuti da bi se kampanja lako mogla promijeniti da distribuira Cuckoo zlonamjerni softver i kroz druge lažne aplikacije. Zlonamjerni akteri su poznati po svojoj prilagodljivosti i stalnom razvoju taktika za širenje zlonamjernog softvera. Stoga, organizacije i korisnici moraju ostati oprezne protiv različitih metoda distribucije.
Funkcionisanje
Cuckoo je vrsta macOS zlonamjernog softvera za koju je primijećeno da pokazuje neuobičajeno ponašanje uspostavljanjem postojanosti na zaraženim sistemima. Za razliku od većine zlonamjernih sojeva koji kradu informacije, a koji obično ne uspostavljaju postojanost, Cuckoo u tu svrhu koristi tehniku pod nazivom LaunchAgent.
Upotreba LaunchAgent tehnike je metoda koju su ranije koristile razne druge porodice zlonamjernog softvera kao što su XLoader, JaskaGO i RustBucket. Ova tehnika omogućava da se zlonamjerni softver automatski pokrene nakon ponovnog pokretanja sistema, obezbeđujući njegovo stalno prisustvo na zaraženom uređaju. Mehanizam postojanosti omogućava Cuckoo zlonamjernom softveru da izvrši svoje zlonamjerne aktivnosti čak i nakon što se korisnik odjavi ili ponovo pokrene sistem.
Cuckoo upotreba osascript za eskalaciju privilegija je još jedna sofisticirana taktika koju koristi ovaj zlonamjerni softver. On predstavlja obmanjujući upit za lozinku, sličan MacStealer macOS zlonamjernom softveru, kako bi stekao povišene privilegije na zaraženom uređaju. Ovo omogućava Cuckoo zlonamjernom softveru da obavlja obimnije prikupljanje podataka i zadatke manipulacije sistemom koji zahtijevaju viši nivo pristupa.
Jednom uspostavljena postojanost uz eskalaciju privilegija, omogućava Cuckoo zlonamjernom softveru da prikuplja informacije iz sistema korisnika. U tu svrhu koristi različite tehnike, uključujući:
- Prikupljanje informacija o hardveru, gdje prikuplja detalje o procesoru, memoriji, uređajima za skladištenje, mrežnim interfejsima i drugim relevantnim hardverskim komponentama inficiranog uređaja. Ove podatke napadači mogu koristiti da prilagode svoje napade ili da ih prodaju na mračnom internetu za profit,
- Cuckoo prikuplja listu svih trenutno pokrenutih procesa inficiranog uređaja. Ove informacije su dragocjene, jer pružaju uvid u to koje aplikacije se koriste i koje potencijalno mogu sadržati ranjivosti koje napadači mogu da iskoriste,
- Zlonamjerni softver pretražuje sve novoinstalirane aplikacije, pružajući napadačima listu potencijalnih meta na koje će usredsrediti svoje napore. Ove informacije takođe mogu pomoći napadačima da identifikuju softver koji je možda korišćen kao vektor za početnu infekciju ili bi mogao biti ranjiv na poznate eksploatacije,
- Cuckoo prikuplja podatke iz različitih izvora, uključujući internet pregledače, novčanike za kriptovalute i popularne softverske aplikacije. Ove informacije mogu uključivati korisnička imena, lozinke, kolačiće, istoriju pregledača i druge osjetljive podatke koji se mogu koristiti za krađu identiteta ili finansijsku dobit,
- Za komunikaciju sa serverom za komandu i kontrolu (C2) zlonamjerni softver koristi priključke (eng. sockets) i curl API. Ovo omogućava napadačima da izdaju komande na daljinu, omogućavajući im da obavljaju dodatne zadatke kao što je preuzimanje dodatnog zlonamjernog softvera ili krađa više podataka sa inficiranog uređaja.
ZAKLJUČAK
Cuckoo je sofisticirani macOS zlonamjerni softver koji koristi različite taktike i tehnike izbjegavanja za postizanje upornosti na inficiranim sistemima. Njegova upotreba LaunchAgent tehnike osigurava da se automatski pokreće nakon ponovnog pokretanja sistema, dok mu njegove mogućnosti eskalacije privilegija omogućavaju prikupljanje obimnih informacija sa inficiranog uređaja. Zlonamjerni akteri podatke mogu da koriste u razne zlonamjerne svrhe, uključujući krađu identiteta, finansijsku dobit i dalje napade na druge mete.
Otkriće Cuckoo zlonamjernog softvera naglašava sve veću sofisticiranost macOS prijetnji i potrebu za robusnim bezbjednosnim kontrolama na desktop platformama. Stoga je potrebno biti informisan o novim prijetnjama kao što su Cuckoo i uz primjenu odgovarajućih bezbjednosnih mjera, organizacije mogu da zaštite svoje sisteme od potencijalnih napada.
ZAŠTITA
Da biste se zaštitili od Cuckoo zlonamjernog softvera koji cilja na macOS, sledite korake ispod da poboljšate svoju sajber bezbjednost i zaštitite svoj digitalni život:
- Instalirati i održavati pouzdanu antivirusnu zaštitu prilagođenu macOS operativnim sistemima. Ovo je najbolji način da se korisnici zaštite od klikanja na zlonamjerne veze koje instaliraju Cuckoo ili drugi zlonamjerni softver, koji može da dobije pristup korisničkim privatnim informacijama. Uvjeriti se da je podešeno da se ažurira automatski i da redovno skenira uređaj,
- Uvijek preuzimati softver iz renomiranih i zvaničnih izvora. Zlonamjerni softver kao što je Cuckoo može biti prikriven kao legitimne aplikacije, pa vjerujte samo pronevjerenim internet lokacijama za potrebe za preuzimanje,
- Redovno instalirati ažuriranja na najnoviju verziju macOS operativnog sistema. Ažuriranja često uključuju bezbjednosne ispravke koje štite od poznatih ranjivosti i prijetnji od zlonamjernog softvera,
- Koristiti jake, složene i jedinstvene lozinke za sve korisničke naloge, uključujući elektronsku poštu, društvene mreže i finansijske usluge. Razmisliti o korištenju menadžera lozinki za generisanje i njihovo bezbjedno čuvanje,
- Ugrađena bezbjednosna Mac funkcija Gatekeeper, pomaže da se spriječi instalacija nepouzdanog softvera provjerom digitalnih potpisa aplikacija pre nego što se pokrenu. Osigurati da je ova funkcija omogućena,
- Biti oprezan sa prilozima i vezama elektronske pošte, jer elektronske poruke mogu da sadrže zlonamjerni softver kao što je Cuckoo, pa je potrebno biti oprezan prilikom otvaranja priloga elektronske pošte ili prilikom otvaranja veza iz nepoznatih izvora. Preći kursorom preko veze da bi se vidjelo njeno pravo odredište pre nego što se klikne na vezu,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authenticatio – 2FA) za važne naloge kad god je to moguće. Ovo omogućava dodatni nivo sigurnosti tako što zahteva drugi oblik verifikacije, kao što je kôd poslat putem tekstualne poruke ili generisan preko aplikacije za autentifikaciju,
- Redovno praviti rezervnu kopiju podataka koristeći pouzdano rješenje za pravljenje rezervne kopije za zaštitu od napada kao što je Cuckoo. Razmisliti o korištenju usluga zasnovanih na oblaku, eksternih čvrstih diskova ili oboje,
- Informisati se o prijetnjama iz sajber bezbjednosti, o najnovijim trendovima u sajber bezbjednosti i prijetnjama koje ciljaju na macOS čitajući renomirane izvore. Ovo znanje može pomoći korisnicima da donesu bolje odluke kada je u pitanju zaštita njihovog digitalnog života.