Apple専門のセキュリティ企業「Kandji」はこのほど、「Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware」において、Macデバイスを標的とする新しい情報窃取マルウェア「Cuckoo」を発見したと伝えた。Malware: Cuckoo Behaves Like Cross Between Infostealer and Spyware

○情報窃取マルウェア「Cuckoo」とはKandjiによると、情報窃取マルウェア「Cuckoo」は、IntelおよびARMアーキテクチャに対応したMach-Oバイナリだという。ストリーミングサービスの音楽リッピングアプリとして配布されていることが確認されている。このマルウェアは他のマルウェアと同様に、右クリックの「開く」から実行することを求める特徴がある。右クリックの「開く」から実行を求める例 引用:Kandjiまた、他の特徴として、次の言語(環境変数LANG)が設定されているデバイスを標的から除外することが判明している。アルメニア(hy_AM)ベラルーシ(be_BY)カザフスタン(kk_KZ)ロシア(ru_RU)ウクライナ(uk_UA)情報窃取マルウェアとしては、次の機能が確認されている。永続性の確保偽装元リッピングアプリを起動する機能Safari、キーチェーン、メモのデータ窃取Opera、Edge、Chrome、Firefox、Thunderbirdのデータ窃取FileZilla、Steam、Discord、Telegramのデータ窃取さまざまなウォレットのデータ窃取zshの履歴(.zsh_history/zsh_history.txt)の窃取${HOME}/.sshディレクトリーの窃取スクリーンショットの窃取○対策Kandjiは、これまでの調査で、tunesolo[.]com、fonedog[.]com、tunesfun[.]com、tunefab[.]comからマルウェアが配布されていることを確認したとしており、これらWebサイトにはアクセスしないことが推奨されている。また、これら4件のWebサイト以外にもマルウェアの配布サイトが存在している可能性があるため、右クリックから「開く」を選択して実行することを求めるアプリには注意する必要がある。Kandjiは、今回の調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。