Mac 安全提供商 Kandji 的网络安全研究人员发现了一种针对 macOS 用户的名为“Cuckoo”的新恶意软件。该恶意软件伪装成 Spotify 等音乐转换器应用程序，可以在基于 Intel 和 ARM 的 Apple Mac 电脑上运行。

研究人员于 2024 年 4 月 24 日发现了一个恶意 Mach-O 二进制文件，该二进制文件表现出间谍软件和信息窃取行为。其检查发现了一个名为“DumpMedia Spotify Music Converter”的文件，这是基于 Intel 或 ARM 的 Mac 计算机上的通用二进制文件。
从 dumpmediacom 下载 Spotify 版本时检测到该恶意软件。然后在其他网站上发现它有免费和付费版本。

Kandji 研究人员在博客文章中透露：“到目前为止，我们发现unesolocom、fonedogcom、tunesfuncom、tunefabcom 网站正在托管包含相同恶意软件的恶意应用程序。”

Cuckoo的欺骗策略
Cuckoo 声称可以将 Spotify 音乐转换为 MP3 格式，从而欺骗用户。安装后，它就会开始窃取数据，目标是 macOS 钥匙串、视觉证据、浏览历史记录、消息应用程序数据、加密货币钱包详细信息和身份验证凭据。

它通过请求用户打开应用程序来自行安装，无需经过审查的签名或开发人员 ID。它检查用户的位置并收集主机硬件信息。如果用户接受进一步的提示，则可以访问 Finder、麦克风和下载。

它的目标是什么？
Cuckoo 针对 macOS 的钥匙串（密码、登录凭据和加密密钥的存储库），从而危及在线帐户和敏感数据访问。

它窃取屏幕截图和网络摄像头快照，并针对 WhatsApp 和 Telegram 等消息应用程序，泄露用户的在线活动，并对数字资产所有者构成重大财务威胁。

研究人员发现 Cuckoo 将与 Safari、Notes 和 Keychain 相关的文件复制到临时位置，并创建感兴趣文件的路径。它每 60 秒运行一次启动代理以保持在计算机上的持久性。

背后是谁？
该活动并未明确归因于任何特定的威胁行为者，但研究人员指出，它保护了亚美尼亚、白俄罗斯、哈萨克斯坦、俄罗斯和乌克兰的设备。

此外，它还通过 LaunchAgent 建立持久性，这是 RustBucket、XLoader、JaskaGO 中的一个功能，以及与中国威胁参与者 ZuRu 相关的后门。该恶意软件是使用合法的中国开发者ID（易安科技深圳有限公司（VRBJ4VRP））进行签名的，所有捆绑包（除了fonedogcom上托管的捆绑包）均已签名。

为了保护自己免受 Cuckoo 和其他恶意软件威胁，请谨慎下载软件，避免不受信任的来源，仔细检查电子邮件和附件，并使用可靠的防病毒和反恶意软件解决方案。保持警惕和怀疑对于数字隐私和安全至关重要。