Gefälschte iTerm2-Website verbreitet die OSX.ZuRu-Malware

Während die meisten Cyberkriminellen Windows-Rechner weiterhin stark ins Visier nehmen, gibt es mutigere Gruppen, die exotischere Ziele verfolgen – wie macOS-Systeme. OSX.ZuRu ist eine der neuesten identifizierten Malware, die ausschließlich Macs verfolgt. Seine Schöpfer scheinen sich auf gesponserte Suchergebnisse zu verlassen, um zu versuchen, Benutzer auf eine bösartige Seite zu verweisen. Die Kriminellen fälschen tatsächlich den Namen eines legitimen macOS-Tools namens iTerm2. Es ist die offizielle Website iTerm2.com, aber die Kriminellen hosten eine gefälschte Version auf iTerm2.net. Die zweite Seite ist so gestaltet, dass sie genau wie das Original aussieht. Aufgrund der Verwendung von gesponserten Suchergebnissen können Benutzer, die nach iTerm2 suchen, versehentlich auf der gefälschten Website Kredite vergeben.

Derzeit scheinen die Kriminellen nur die chinesische Suchmaschine Baidu ins Visier zu nehmen. Es wäre jedoch keine Überraschung, wenn sie versuchen würden, ihren Betrieb in naher Zukunft zu erweitern. Sobald ein Benutzer versucht, iTerm von der gefälschten Website herunterzuladen, wird er an einen Hosting-Dienst eines Drittanbieters weitergeleitet, der die Datei iTerm.dmg abruft . Bisher sieht auf dem Bildschirm des Nutzers alles normal aus – das einzige auffällige Warnsignal ist der etwas andere Domainname. Dies würden die meisten jedoch nicht bemerken.

Aber das ist noch lange nicht alles, was die Gauner getan haben, um ihre bösartigen Aktivitäten zu verbergen. Sobald ein Benutzer die verdächtige iTerm.dmg- App ausführt und installiert, erhält er Zugriff auf einen Nachahmer der iTerm-Shell. Tatsächlich scheint es genau wie das Original zu funktionieren. Es wird jedoch auch bösartigen Code im Hintergrund ausführen, wo die wahre Magie passiert.

Was macht OSX.ZuRu?

Der erste Schritt, den diese Malware unternimmt, besteht darin, eine Verbindung zu einer Remote-Webanwendung herzustellen und einige Daten über das Opfer zu senden. Die primäre gesendete Information ist die Seriennummer des Geräts. Danach versucht es, eine zweite Verbindung zu einem bösartigen Webserver aufzubauen. Letzteres ist der gefährliche Teil – es kann eine lange Liste von Nutzlasten liefern. Diese versteckten Downloads tragen oft die Namen legitimer Apps und Dienste – zB Google Update.

Eine der Nutzlasten scheint ein Skript zu sein, das bestimmte Daten aus dem infizierten System exfiltriert – Schlüsselbund, Hostdatei, Bash-Verlauf, Ordnernamen usw. Die andere scheint eine Kopie des Cobalt Strike Beacon zu sein. Dies ist ein Framework zur Durchdringung der Sicherheit, das Cyberkriminelle manchmal verwenden.

Offensichtlich experimentieren Cyberkriminelle mit allen möglichen fiesen Tricks, um ihre Opfer zu erreichen. Vor allem die OSX.ZuRu-Kampagne ist auf diese Weise sehr interessant. Der beste Weg, um Ihr System und Ihre Daten zu schützen, ist die Verwendung von Antivirensoftware.