Pesquisadores de segurança cibernética descobriram um novo tipo de malware espião, chamado Cuckoo, que está mirando sistemas macOS da Apple, tanto em dispositivos Intel quanto Arm.

O Cuckoo é projetado para estabelecer persistência nos hosts infectados, funcionando como um ladrão de informações. O malware é um binário Mach-O universal, capaz de operar em Macs baseados tanto em Intel quanto em Arm. Ainda não está claro como o malware é distribuído, mas há indicações de que o binário é hospedado em sites conhecidos, que oferecem versões gratuitas e pagas de aplicativos para extrair músicas de serviços de streaming e convertê-las em formato MP3. O arquivo de imagem de disco baixado desses sites executa um shell bash que coleta informações do host e verifica a localização da máquina comprometida.

O Cuckoo também estabelece persistência por meio de um LaunchAgent, uma técnica já utilizada por outras famílias de malware, como RustBucket, XLoader, JaskaGO e um backdoor para macOS que tem semelhanças com o ZuRu. Assim como o malware MacStealer para macOS, o Cuckoo utiliza o osascript para exibir uma solicitação falsa de senha, enganando os usuários a inserirem suas senhas do sistema para escalonamento de privilégios.

O Cuckoo é capaz de executar uma série de comandos para extrair informações de hardware, capturar processos em execução, consultar aplicativos instalados, tirar capturas de tela e coletar dados do iCloud Keychain, Apple Notes, navegadores web, carteiras de criptomoedas e aplicativos como Discord, FileZilla, Steam e Telegram.