布谷鸟窃贼

网络安全研究人员发现了一种针对 Apple macOS 系统的新威胁，该威胁旨在在受感染的主机上建立持久访问并充当间谍软件。这种恶意软件名为 Cuckoo，是一种通用 Mach-O 二进制文件，能够在基于 Intel 和 Arm 的 Mac 上运行。

具体的传播方式尚不确定。不过，有迹象表明该二进制文件托管在多个网站（dumpmedia.com、tunesolo.com、fonedog.com、tunesfun.com 和 tunefab.com）上，这些网站声称提供免费和付费应用程序，用于从流媒体服务中翻录音乐并将其转换为 MP3 格式。

布谷鸟窃贼在受感染的 Mac 上建立持久性

从这些网站获取的磁盘映像文件会启动 bash shell 来收集主机详细信息。它确保受感染的机器不位于亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯或乌克兰。只有区域设置检查成功后，欺诈性二进制文件才会运行。

此外，它使用 LaunchAgent 建立持久性，这种方法以前被各种恶意软件家族使用过，例如RustBucket 、 XLoader 、 JaskaGO以及与ZuRu相似的 macOS 后门。

与 MacStealer macOS 恶意软件类似，Cuckoo 使用 osascript 呈现虚假密码提示，诱骗用户输入系统密码以提升权限。该恶意软件还会扫描与特定应用程序相关的特定文件，以收集大量系统信息。

布谷鸟窃贼从被入侵的设备中窃取敏感信息

Cuckoo 恶意软件旨在执行一系列命令，旨在提取硬件详细信息、捕获活动进程、查询已安装的应用程序、截取屏幕截图以及从各种来源收集数据，包括 iCloud Keychain、Apple Notes、Web 浏览器、加密钱包和特定应用程序，如 Discord、FileZilla、Steam 和 Telegram。

每个威胁应用程序在其资源目录中都包含一个嵌入式应用程序包。除来自 fonedog.com 的包外，大多数这些包都经过签名并带有归属于 Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) 的有效开发者 ID。值得注意的是，fonedog.com 托管了一个 Android 恢复工具以及其他产品，其附加应用程序包具有来自 FoneDog Technology Limited (CUAU2GTG98) 的开发者 ID。

Mac 设备已成为恶意软件攻击的常见目标

网络犯罪分子一直在部署针对 Mac 设备的恶意软件工具，其中一个突出的例子是AdLoad恶意软件家族。最近，信息安全研究人员对这种臭名昭著的恶意软件的新变种发出了警报，该变种名为Rload （也称为 Lador），用 Go 编程语言编写。Rload 旨在绕过 Apple 的 XProtect 恶意软件签名列表，并专门针对 Intel x86_64 架构进行编译。

这些二进制文件充当后续有效载荷阶段的初始植入程序。目前，确切的分发方法仍不清楚。但是，这些植入程序通常嵌入在通过恶意网站分发的破解或木马应用程序中。

AdLoad 是一款自 2017 年以来一直影响 macOS 的广告软件，它因劫持搜索引擎结果和向网页注入广告而臭名昭著。这是通过中间人网络代理设置实现的，通过攻击者的基础设施重定向用户网络流量以获取经济利益。