Apple専門のセキュリティ企業「Kandji」はこのほど、「Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware」において、Macデバイスを標的とする新しい情報窃取マルウェア「Cuckoo」を発見したと伝えた。

  • Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware

    Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware

情報窃取マルウェア「Cuckoo」とは

Kandjiによると、情報窃取マルウェア「Cuckoo」は、IntelおよびARMアーキテクチャに対応したMach-Oバイナリだという。ストリーミングサービスの音楽リッピングアプリとして配布されていることが確認されている。このマルウェアは他のマルウェアと同様に、右クリックの「開く」から実行することを求める特徴がある。

  • 右クリックの「開く」から実行を求める例 - 引用:Kandji

    右クリックの「開く」から実行を求める例 引用:Kandji

また、他の特徴として、次の言語(環境変数LANG)が設定されているデバイスを標的から除外することが判明している。

  • アルメニア(hy_AM)
  • ベラルーシ(be_BY)
  • カザフスタン(kk_KZ)
  • ロシア(ru_RU)
  • ウクライナ(uk_UA)

情報窃取マルウェアとしては、次の機能が確認されている。

  • 永続性の確保
  • 偽装元リッピングアプリを起動する機能
  • Safari、キーチェーン、メモのデータ窃取
  • Opera、Edge、Chrome、Firefox、Thunderbirdのデータ窃取
  • FileZilla、Steam、Discord、Telegramのデータ窃取
  • さまざまなウォレットのデータ窃取
  • zshの履歴(.zsh_history/zsh_history.txt)の窃取
  • ${HOME}/.sshディレクトリーの窃取
  • スクリーンショットの窃取

対策

Kandjiは、これまでの調査で、tunesolo[.]com、fonedog[.]com、tunesfun[.]com、tunefab[.]comからマルウェアが配布されていることを確認したとしており、これらWebサイトにはアクセスしないことが推奨されている。また、これら4件のWebサイト以外にもマルウェアの配布サイトが存在している可能性があるため、右クリックから「開く」を選択して実行することを求めるアプリには注意する必要がある。

Kandjiは、今回の調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。