24 апреля 2024 года был обнаружен вредоносный двоичный файл Mach-O, получивший название Cuckoo. Этот вредоносный файл был запрограммирован на исполнение действий, смешанных между шпионским ПО и информационным воровством. Файл получил название в честь птицы Cuckoo, которая откладывает яйца в гнезда других птиц и крадет ресурсы для своего потомства.
Первый обнаруженный файл DumpMediaSpotifyMusicConverter, был загружен на VirusTotal и также был найден на сайте dumpmedia.com. Этот файл предоставлял множество приложений для конвертирования музыки из потоковых сервисов. При проверке файла было обнаружено, что он содержит вредоносные файлы.
Загруженный файл DumpMediaSpotifyMusicConverter содержал пакет приложений, который должен был быть установлен в папку /Applications на macOS. Однако в данном случае было предложено открыть файл через щелчок правой кнопкой мыши. При изучении содержимого пакета был обнаружен двоичный файл Mach-O с названием upd, а также другой пакет приложений под названием DumpMedia Spotify Music Converter в папке Resources.
Анализ файла upd показал, что он был подписан adhoc без указания идентификатора разработчика. Это означало, что Gatekeeper не позволил бы файлу запуститься без разрешения пользователя.
После разрешения запуска приложения, оно создавало оболочку bash и начинало собирать информацию о хосте, используя команду system_profiler для получения UUID оборудования.
Дальнейший анализ показал, что строки вредоносной программы были закодированы с помощью XOR-кода. Было обнаружено, что первая буква команды system_profiler была заменена на символ "s". Ключ для декодирования строки находился по определенному адресу и использовался для декодирования строк в данном участке программы.
Indicators of Compromise
URLs
- http://146.70.80.123/index.php
- http://146.70.80.123/static.php
- http://dumpmedia.com
- http://fonedog.com
- http://tunefab.com
- http://tunesfun.com
- http://tunesolo.com
SHA256
- 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
- 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b
- 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
- a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc
- d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8