Cuckoo恶意软件以macOS用户为目标，窃取密码、浏览历史记录、加密钱包详细信息等。它伪装成音乐转换器，带来了重大的安全风险。了解如何保护自己免受这个复杂的信息窃取者的侵害。

Mac安全提供商Kandji的网络安全研究人员发现了一种针对macOS用户的名为“Cuckoo”的新恶意软件。该恶意软件伪装成Spotify等音乐转换器应用程序，可以在基于Intel和ARM的Apple Mac电脑上运行。

研究人员于2024年4月24日发现了一个恶意的Mach-O二进制文件，该二进制文件表现出间谍软件和信息窃取行为。它的检查发现了一个名为“DumpMedia Spotify Music Converter”的文件，这是基于Intel或ARM的Mac计算机上的通用二进制文件。

从dumpmediacom下载Spotify版本时检测到该恶意软件。然后在其他网站上发现它有免费和付费版本。

Kandji研究人员在博客文章中透露：“到目前为止，我们发现unesolocom、fonedogcom、tunesfuncom、tunefabcom网站正在托管包含相同恶意软件的恶意应用程序。”

Cuckoo声称可以将Spotify音乐转换为MP3格式，从而欺骗用户。安装后，它就会开始窃取数据，目标是macOS钥匙串、视觉证据、浏览历史记录、消息应用程序数据、加密货币钱包详细信息和身份验证凭据。

它通过请求用户打开应用程序来自行安装，无需经过审查的签名或开发人员ID。它检查用户的位置并收集主机硬件信息。如果用户接受进一步的提示，则可以访问Finder、麦克风和下载。

Cuckoo针对macOS的钥匙串（密码、登录凭据和加密密钥的存储库），从而危及在线帐户和敏感数据访问。

它窃取屏幕截图和网络摄像头快照，并针对WhatsApp和Telegram等消息应用程序，泄露用户的在线活动，并对数字资产所有者构成重大财务威胁。

研究人员发现Cuckoo将与Safari、Notes和Keychain相关的文件复制到临时位置，并创建感兴趣文件的路径。它每60秒运行一次启动代理以保持在计算机上的持久性。

该活动并未明确归因于任何特定的威胁行为者，但研究人员指出，它保护了亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯和乌克兰的设备。

此外，它还通过LaunchAgent建立持久性，这是RustBucket、XLoader、JaskaGO中的一个功能，以及与中国威胁行为者ZuRu相关的后门。该恶意软件使用合法的中国开发者ID（易安科技深圳有限公司（VRBJ4VRP））进行签名，所有捆绑包（除了fonedogcom上托管的捆绑包）均已签名。

为了保护自己免受Cuckoo和其他恶意软件威胁，请谨慎下载软件，避免不受信任的来源，仔细检查电子邮件和附件，并使用可靠的防病毒和反恶意软件解决方案。保持警惕和怀疑对于数字隐私和安全至关重要。