Fεύτικος ιστότοπος iTerm2 Διαδίδει το κακόβουλο λογισμικό OSX.ZuRu

Ενώ οι περισσότεροι εγκληματίες στον κυβερνοχώρο συνεχίζουν να στοχεύουν σε μεγάλο βαθμό τα μηχανήματα Windows, υπάρχουν πιο τολμηρές ομάδες εκεί έξω που κάνουν πιο εξωτικούς στόχους - όπως τα συστήματα macOS. Το OSX.ZuRu είναι ένα από τα πιο πρόσφατα κακόβουλα προγράμματα που εντοπίστηκαν αποκλειστικά για Mac. Οι δημιουργοί του φαίνεται να βασίζονται στη λίστα χορηγούμενων αποτελεσμάτων αναζήτησης για να προσπαθήσουν να παραπέμψουν τους χρήστες σε μια κακόβουλη σελίδα. Οι εγκληματίες στην πραγματικότητα παραποιούν το όνομα ενός νόμιμου εργαλείου macOS που ονομάζεται iTerm2. Είναι επίσημος ιστότοπος είναι ο iTerm2.com, αλλά οι εγκληματίες φιλοξενούν μια ψεύτικη έκδοση στο iTerm2.net. Η δεύτερη σελίδα έχει σχεδιαστεί για να μοιάζει ακριβώς με την αρχική. Λόγω της χρήσης χορηγούμενων αποτελεσμάτων αναζήτησης, οι χρήστες που αναζητούν το iTerm2 ενδέχεται κατά λάθος να δανειστούν στον ψεύτικο ιστότοπο κατά λάθος.

Επί του παρόντος, οι εγκληματίες φαίνεται να στοχεύουν μόνο την κινεζική μηχανή αναζήτησης Baidu. Ωστόσο, δεν θα ήταν έκπληξη αν προσπαθούσαν να επεκτείνουν τη λειτουργία τους στο εγγύς μέλλον. Μόλις ένας χρήστης προσπαθήσει να κατεβάσει το iTerm από τον ψεύτικο ιστότοπο, θα παραπεμφθεί σε υπηρεσία φιλοξενίας τρίτου μέρους, η οποία θα πάρει το αρχείο iTerm.dmg. Μέχρι στιγμής, στην οθόνη του χρήστη όλα φαίνονται κανονικά - η μόνη αξιοσημείωτη κόκκινη σημαία είναι το ελαφρώς διαφορετικό όνομα τομέα. Ωστόσο, οι περισσότεροι άνθρωποι δεν θα το προσέξουν αυτό.

Αλλά αυτό απέχει πολύ από όλα όσα έχουν κάνει οι απατεώνες για να κρύψουν την κακόβουλη δραστηριότητά τους. Μόλις ένας χρήστης εκτελέσει και εγκαταστήσει την ύποπτη εφαρμογή iTerm.dmg , θα καταλήξει να έχει πρόσβαση σε ένα αντίγραφο του κελύφους iTerm. Στην πραγματικότητα, φαίνεται να λειτουργεί ακριβώς όπως το πρωτότυπο. Ωστόσο, θα εκτελέσει επίσης κακόβουλο κώδικα στο παρασκήνιο, όπου συμβαίνει η πραγματική μαγεία.

Τι κάνει το OSX.ZuRu;

Το πρώτο βήμα που κάνει αυτό το κακόβουλο λογισμικό είναι να συνδεθεί σε μια απομακρυσμένη εφαρμογή Ιστού και να στείλει ορισμένα δεδομένα σχετικά με το θύμα. Η κύρια πληροφορία που στέλνει είναι ο σειριακός αριθμός της συσκευής. Μετά από αυτό, προσπαθεί να δημιουργήσει μια δεύτερη σύνδεση με έναν κακόβουλο διακομιστή Web. Το τελευταίο είναι το επικίνδυνο μέρος - μπορεί να προσφέρει έναν μακρύ κατάλογο ωφέλιμων φορτίων. Αυτές οι κρυφές λήψεις φέρουν συχνά ονόματα νόμιμων εφαρμογών και υπηρεσιών - π.χ. Google Update.

Ένα από τα ωφέλιμα φορτία φαίνεται να είναι ένα σενάριο που εξειδικεύει ορισμένα δεδομένα από το μολυσμένο σύστημα - μπρελόκ, αρχείο κεντρικών υπολογιστών, ιστορικό bash, ονόματα φακέλων κ.λπ. Το άλλο φαίνεται να είναι αντίγραφο του Cobalt Strike Beacon. Αυτό είναι ένα πλαίσιο διείσδυσης ασφάλειας που χρησιμοποιούν μερικές φορές οι εγκληματίες στον κυβερνοχώρο.

Σαφώς, οι εγκληματίες στον κυβερνοχώρο πειραματίζονται με κάθε είδους δυσάρεστα κόλπα για να προσεγγίσουν τα θύματά τους. Η καμπάνια OSX.ZuRu, ιδιαίτερα, είναι πολύ ενδιαφέρουσα με αυτόν τον τρόπο. Ο καλύτερος τρόπος για να διατηρήσετε το σύστημα και τα δεδομένα σας ασφαλή είναι να χρησιμοποιήσετε λογισμικό προστασίας από ιούς.