Cuckoo Malware IOCs

Spyware IOC
Опубликовано

24 апреля 2024 года был обнаружен вредоносный двоичный файл Mach-O, получивший название Cuckoo. Этот вредоносный файл был запрограммирован на исполнение действий, смешанных между шпионским ПО и информационным воровством. Файл получил название в честь птицы Cuckoo, которая откладывает яйца в гнезда других птиц и крадет ресурсы для своего потомства.

Первый обнаруженный файл DumpMediaSpotifyMusicConverter, был загружен на VirusTotal и также был найден на сайте dumpmedia.com. Этот файл предоставлял множество приложений для конвертирования музыки из потоковых сервисов. При проверке файла было обнаружено, что он содержит вредоносные файлы.

Загруженный файл DumpMediaSpotifyMusicConverter содержал пакет приложений, который должен был быть установлен в папку /Applications на macOS. Однако в данном случае было предложено открыть файл через щелчок правой кнопкой мыши. При изучении содержимого пакета был обнаружен двоичный файл Mach-O с названием upd, а также другой пакет приложений под названием DumpMedia Spotify Music Converter в папке Resources.

Анализ файла upd показал, что он был подписан adhoc без указания идентификатора разработчика. Это означало, что Gatekeeper не позволил бы файлу запуститься без разрешения пользователя.

После разрешения запуска приложения, оно создавало оболочку bash и начинало собирать информацию о хосте, используя команду system_profiler для получения UUID оборудования.

Дальнейший анализ показал, что строки вредоносной программы были закодированы с помощью XOR-кода. Было обнаружено, что первая буква команды system_profiler была заменена на символ "s". Ключ для декодирования строки находился по определенному адресу и использовался для декодирования строк в данном участке программы.

Indicators of Compromise

URLs

  • http://146.70.80.123/index.php
  • http://146.70.80.123/static.php
  • http://dumpmedia.com
  • http://fonedog.com
  • http://tunefab.com
  • http://tunesfun.com
  • http://tunesolo.com

SHA256

  • 1827db474aa94870aafdd63bdc25d61799c2f405ef94e88432e8e212dfa51ac7
  • 254663d6f4968b220795e0742284f9a846f995ba66590d97562e8f19049ffd4b
  • 39f1224d7d71100f86651012c87c181a545b0a1606edc49131730f8c5b56bdb7
  • a709dacc4d741926a7f04cad40a22adfc12dd7406f016dd668dd98725686a2dc
  • d8c3c7eedd41b35a9a30a99727b9e0b47e652b8f601b58e2c20e2a7d30ce14a8
Похожие записи:
  1. Mars Stealer IOC
  2. FFDroider Stealer IOC
  3. MetaStealer Malware IOC
  4. ZingoStealer Malware IOCs
  5. Inno Stealer IOCs
Cuckoo Kandji Spyware Stealer
Добавить комментарий