Falske iTerm2 -websted spreder OSX.ZuRu -malware

Mens de fleste cyberkriminelle fortsat er stærkt målrettet mod Windows -maskiner, er der stærkere grupper derude, der går mere eksotiske mål - som macOS -systemer. OSX.ZuRu er en af de seneste identificerede malware, der udelukkende går efter Mac'er. Dens skabere ser ud til at stole på sponsoreret søgeresultatliste for at forsøge at henvise brugerne til en ondsindet side. De kriminelle bedrager faktisk navnet på et legitimt macOS -værktøj kaldet iTerm2. Det er det officielle websted er iTerm2.com, men de kriminelle er vært for en falsk version på iTerm2.net. Den anden side er designet til at ligne den originale. På grund af brugen af sponsorerede søgeresultater kan brugere, der søger efter iTerm2, ved et uheld låne på det falske websted ved en fejl.

I øjeblikket ser det ud til, at de kriminelle kun målretter mod den kinesiske Baidu -søgemaskine. Det ville dog ikke være en overraskelse, hvis de forsøgte at udvide deres drift i den nærmeste fremtid. Når en bruger prøver at downloade iTerm fra det falske websted, bliver de henvist til en tredjeparts hostingtjeneste, som henter filen iTerm.dmg . Indtil videre ser alt normalt ud på brugerens skærm - det eneste mærkbare røde flag er det lidt anderledes domænenavn. De fleste mennesker ville dog ikke lægge mærke til dette.

Men dette er langt fra alt, hvad skurke har gjort for at skjule deres ondsindede aktivitet. Når en bruger udfører og installerer den mistænkelige iTerm.dmg -app, vil de ende med at få adgang til en kopi af iTerm -skallen. Faktisk ser det ud til at fungere ligesom originalen. Det vil dog også udføre ondsindet kode i baggrunden, hvor den virkelige magi sker.

Hvad gør OSX.ZuRu?

Det første skridt, som denne malware tager, er at oprette forbindelse til et fjernt webprogram og sende nogle data om offeret. Det primære stykke information, den sender, er enhedens serienummer. Efter dette forsøger den at etablere en anden forbindelse til en ondsindet webserver. Sidstnævnte er den farlige del - den kan levere en lang liste med nyttelast. Disse skjulte downloads bærer ofte navnene på legitime apps og tjenester - f.eks. Google Update.

En af nyttelasterne ser ud til at være et script, der eksfiltrerer visse data fra det inficerede system - nøglering, værtsfil, bash -historie, mappenavne osv. Den anden ser ud til at være en kopi af Cobalt Strike Beacon. Dette er en ramme for sikkerhedspenetration, som cyberkriminelle undertiden bruger.

Det er klart, at cyberkriminelle eksperimenterer med alle mulige grimme tricks for at nå deres ofre. OSX.ZuRu -kampagnen er især meget spændende på denne måde. Den bedste måde at holde dit system og dine data sikre er at bruge antivirussoftware.