# Cuckoo Stealer > Tipo: **malware** · S1153 · [MITRE ATT&CK](https://attack.mitre.org/software/S1153) ## Descrição [[s1153-cuckoo-stealer|Cuckoo Stealer]] é um malware para macOS com características híbridas de spyware e infostealer identificado em uso desde pelo menos 2024. Trata-se de um binário Mach-O universal compilado para rodar tanto em Macs com processador Intel quanto ARM (Apple Silicon), e tem sido distribuído por meio de versões trojanizadas de programas potencialmente indesejados (PUPs), como conversores de mídia, ferramentas de limpeza e desinstaladores - disseminados principalmente via anúncios maliciosos e sites de pirataria. Após a execução, o [[s1153-cuckoo-stealer|Cuckoo Stealer]] verifica o idioma do sistema via [[t1614-001-system-language-discovery|System Language Discovery]] e a localização geográfica via [[t1614-system-location-discovery|System Location Discovery]] para evitar infectar alvos na Rússia e países adjacentes. O malware realiza uma série de verificações anti-análise - incluindo [[t1057-process-discovery|Process Discovery]] - antes de ativar suas funcionalidades principais: captura de tela via [[t1113-screen-capture|Screen Capture]], descoberta de arquivos via [[t1083-file-and-directory-discovery|File and Directory Discovery]], modificação de arquivos de configuração plist via [[t1647-plist-file-modification|Plist File Modification]], e exfiltração pelo canal C2 via [[t1041-exfiltration-over-c2-channel|Exfiltration Over C2 Channel]]. O payload é armazenado de forma criptografada via [[t1027-013-encryptedencoded-file|Encrypted/Encoded File]] e ocultado em diretórios escondidos via [[t1564-001-hidden-files-and-directories|Hidden Files and Directories]]. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1569-001-launchctl|T1569.001 - Launchctl]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1647-plist-file-modification|T1647 - Plist File Modification]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-008-stripped-payloads|T1027.008 - Stripped Payloads]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Referências - [MITRE ATT&CK - S1153](https://attack.mitre.org/software/S1153)