Le faux site Web iTerm2 propage le logiciel malveillant OSX.ZuRu

Alors que la plupart des cybercriminels continuent de cibler massivement les machines Windows, il existe des groupes plus audacieux qui ciblent des cibles plus exotiques, comme les systèmes macOS. OSX.ZuRu est l'un des derniers malwares identifiés à s'attaquer exclusivement aux Mac. Ses créateurs semblent s'appuyer sur la liste des résultats de recherche sponsorisés pour essayer de renvoyer les utilisateurs vers une page malveillante. Les criminels usurpent en fait le nom d'un outil macOS légitime appelé iTerm2. Son site officiel est iTerm2.com, mais les criminels hébergent une fausse version sur iTerm2.net. La deuxième page est conçue pour ressembler exactement à l'original. En raison de l'utilisation de résultats de recherche sponsorisés, les utilisateurs recherchant iTerm2 peuvent accidentellement prêter sur le faux site Web par erreur.

Actuellement, les criminels semblent cibler uniquement le moteur de recherche chinois Baidu. Cependant, ce ne serait pas une surprise s'ils essayaient d'étendre leurs opérations dans un proche avenir. Une fois qu'un utilisateur essaie de télécharger iTerm à partir du faux site Web, il sera dirigé vers un service d'hébergement tiers, qui récupère le fichier iTerm.dmg . Jusqu'à présent, sur l'écran de l'utilisateur, tout semble normal - le seul drapeau rouge notable est le nom de domaine légèrement différent. Cependant, la plupart des gens ne le remarqueraient pas.

Mais c'est loin de tout ce que les escrocs ont fait pour cacher leur activité malveillante. Une fois qu'un utilisateur exécute et installe l' application suspecte iTerm.dmg , il finira par avoir accès à un copieur du shell iTerm. En fait, il semble fonctionner comme l'original. Cependant, il exécutera également du code malveillant en arrière-plan, là où la vraie magie opère.

Que fait OSX.ZuRu ?

La première étape de ce malware consiste à se connecter à une application Web distante et à envoyer des données sur la victime. La principale information qu'il envoie est le numéro de série de l'appareil. Après cela, il essaie d'établir une deuxième connexion à un serveur Web malveillant. Ce dernier est la partie dangereuse - il peut fournir une longue liste de charges utiles. Ces téléchargements cachés portent souvent les noms d'applications et de services légitimes, par exemple Google Update.

L'une des charges utiles semble être un script qui exfiltre certaines données du système infecté - trousseau, fichier hôte, historique bash, noms de dossier, etc. L'autre semble être une copie du Cobalt Strike Beacon. Il s'agit d'un cadre de pénétration de la sécurité que les cybercriminels utilisent parfois.

De toute évidence, les cybercriminels expérimentent toutes sortes d'astuces pour atteindre leurs victimes. La campagne OSX.ZuRu, en particulier, est très intrigante de cette manière. La meilleure façon de protéger votre système et vos données est d'utiliser un logiciel antivirus.

Par Ruik
September 20, 2021
Mac Malware
Français
September 20, 2021
Mac Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.