कोयल चोर

साइबरसिक्यूरिटी शोधकर्ताओं ने Apple macOS सिस्टम को निशाना बनाने वाले एक नए खतरे का पता लगाया है, जिसे समझौता किए गए होस्ट पर लगातार पहुँच स्थापित करने और स्पाइवेयर के रूप में काम करने के लिए डिज़ाइन किया गया है। कुक्कू नाम का यह मैलवेयर एक यूनिवर्सल मैक-ओ बाइनरी है जो इंटेल और आर्म-आधारित मैक दोनों पर चलने में सक्षम है।

वितरण की विशिष्ट विधि अनिश्चित बनी हुई है। हालाँकि, ऐसे संकेत हैं कि बाइनरी को कई वेबसाइटों (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com, और tunefab.com) पर होस्ट किया गया है, जो स्ट्रीमिंग सेवाओं से संगीत को रिप करने और इसे MP3 प्रारूप में परिवर्तित करने के लिए निःशुल्क और सशुल्क एप्लिकेशन प्रदान करने का दावा करते हैं।

कोयल चोर संक्रमित मैक पर दृढ़ता स्थापित करता है

इन वेबसाइटों से प्राप्त डिस्क इमेज फ़ाइल होस्ट विवरण एकत्र करने के लिए बैश शेल आरंभ करती है। यह सुनिश्चित करता है कि समझौता की गई मशीन आर्मेनिया, बेलारूस, कजाकिस्तान, रूस या यूक्रेन में स्थित नहीं है। धोखाधड़ी वाली बाइनरी केवल तभी चलती है जब लोकेल जाँच सफल होती है।

इसके अलावा, यह LaunchAgent का उपयोग करके दृढ़ता स्थापित करता है, एक विधि जिसका उपयोग पहले विभिन्न मैलवेयर परिवारों जैसे RustBucket , XLoader , JaskaGO और macOS बैकडोर द्वारा किया गया था जो ZuRu के साथ समानताएं साझा करता है।

मैकस्टीलर मैकओएस मैलवेयर की तरह, कुक्कू भी नकली पासवर्ड प्रॉम्प्ट प्रस्तुत करने के लिए ओसास्क्रिप्ट का उपयोग करता है, जिससे उपयोगकर्ता विशेषाधिकार वृद्धि के लिए अपने सिस्टम पासवर्ड दर्ज करने के लिए धोखा देते हैं। यह मैलवेयर व्यापक सिस्टम जानकारी एकत्र करने के प्रयास में विशेष अनुप्रयोगों से जुड़ी विशिष्ट फ़ाइलों को भी स्कैन करता है।

कोयल चोर डिवाइस से संवेदनशील जानकारी चुरा लेता है

कुक्कू मैलवेयर को हार्डवेयर विवरण निकालने, सक्रिय प्रक्रियाओं को कैप्चर करने, इंस्टॉल किए गए अनुप्रयोगों की क्वेरी करने, स्क्रीनशॉट लेने और विभिन्न स्रोतों से डेटा एकत्र करने के उद्देश्य से आदेशों के अनुक्रम को निष्पादित करने के लिए डिज़ाइन किया गया है, जिसमें iCloud कीचेन, ऐप्पल नोट्स, वेब ब्राउज़र, क्रिप्टो वॉलेट और डिस्कॉर्ड, फाइलज़िला, स्टीम और टेलीग्राम जैसे विशिष्ट अनुप्रयोग शामिल हैं।

प्रत्येक खतरनाक एप्लिकेशन में इसकी संसाधन निर्देशिका में एक एम्बेडेड एप्लिकेशन बंडल शामिल है। इनमें से अधिकांश बंडल, fonedog.com के अपवाद के साथ, हस्ताक्षरित हैं और उनमें Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) से संबंधित एक वैध डेवलपर आईडी है। उल्लेखनीय रूप से, fonedog.com ने अन्य पेशकशों के साथ एक Android पुनर्प्राप्ति उपकरण की मेजबानी की, और इसके अतिरिक्त एप्लिकेशन बंडल में FoneDog Technology Limited (CUAU2GTG98) से एक डेवलपर आईडी है।

मैक डिवाइस मैलवेयर हमलों का लगातार लक्ष्य बन गए हैं

साइबर अपराधी मैक डिवाइस को निशाना बनाकर मैलवेयर टूल का इस्तेमाल कर रहे हैं, जिसका एक प्रमुख उदाहरण एडलोड मैलवेयर परिवार है। हाल ही में, सूचना सुरक्षा शोधकर्ताओं ने आरलोड (जिसे लैडोर के नाम से भी जाना जाता है) नामक इस कुख्यात मैलवेयर के एक नए संस्करण के बारे में चिंता जताई है, जिसे गो प्रोग्रामिंग भाषा में लिखा गया है। आरलोड को Apple की XProtect मैलवेयर सिग्नेचर सूची को बायपास करने के लिए डिज़ाइन किया गया है और इसे विशेष रूप से Intel x86_64 आर्किटेक्चर के लिए संकलित किया गया है।

ये बाइनरीज़ बाद के पेलोड चरणों के लिए शुरुआती ड्रॉपर के रूप में कार्य करते हैं। वर्तमान में, सटीक वितरण विधियाँ अस्पष्ट हैं। हालाँकि, ये ड्रॉपर आमतौर पर दुर्भावनापूर्ण वेबसाइटों के माध्यम से वितरित क्रैक या ट्रोजनाइज़ किए गए अनुप्रयोगों में एम्बेडेड पाए जाते हैं।

एडलोड, एक एडवेयर अभियान जो कम से कम 2017 से macOS को प्रभावित कर रहा है, सर्च इंजन के परिणामों को हाईजैक करने और वेब पेजों में विज्ञापन डालने के लिए कुख्यात है। यह एक मैन-इन-द-मिडिल वेब प्रॉक्सी सेटअप के माध्यम से पूरा किया जाता है, जो वित्तीय लाभ के लिए हमलावर के बुनियादी ढांचे के माध्यम से उपयोगकर्ता वेब ट्रैफ़िक को पुनर्निर्देशित करता है।