Le faux site Web iTerm2 propage le logiciel malveillant OSX.ZuRu
Alors que la plupart des cybercriminels continuent de cibler massivement les machines Windows, il existe des groupes plus audacieux qui ciblent des cibles plus exotiques, comme les systèmes macOS. OSX.ZuRu est l'un des derniers malwares identifiés à s'attaquer exclusivement aux Mac. Ses créateurs semblent s'appuyer sur la liste des résultats de recherche sponsorisés pour essayer de renvoyer les utilisateurs vers une page malveillante. Les criminels usurpent en fait le nom d'un outil macOS légitime appelé iTerm2. Son site officiel est iTerm2.com, mais les criminels hébergent une fausse version sur iTerm2.net. La deuxième page est conçue pour ressembler exactement à l'original. En raison de l'utilisation de résultats de recherche sponsorisés, les utilisateurs recherchant iTerm2 peuvent accidentellement prêter sur le faux site Web par erreur.
Actuellement, les criminels semblent cibler uniquement le moteur de recherche chinois Baidu. Cependant, ce ne serait pas une surprise s'ils essayaient d'étendre leurs opérations dans un proche avenir. Une fois qu'un utilisateur essaie de télécharger iTerm à partir du faux site Web, il sera dirigé vers un service d'hébergement tiers, qui récupère le fichier iTerm.dmg . Jusqu'à présent, sur l'écran de l'utilisateur, tout semble normal - le seul drapeau rouge notable est le nom de domaine légèrement différent. Cependant, la plupart des gens ne le remarqueraient pas.
Mais c'est loin de tout ce que les escrocs ont fait pour cacher leur activité malveillante. Une fois qu'un utilisateur exécute et installe l' application suspecte iTerm.dmg , il finira par avoir accès à un copieur du shell iTerm. En fait, il semble fonctionner comme l'original. Cependant, il exécutera également du code malveillant en arrière-plan, là où la vraie magie opère.
Que fait OSX.ZuRu ?
La première étape de ce malware consiste à se connecter à une application Web distante et à envoyer des données sur la victime. La principale information qu'il envoie est le numéro de série de l'appareil. Après cela, il essaie d'établir une deuxième connexion à un serveur Web malveillant. Ce dernier est la partie dangereuse - il peut fournir une longue liste de charges utiles. Ces téléchargements cachés portent souvent les noms d'applications et de services légitimes, par exemple Google Update.
L'une des charges utiles semble être un script qui exfiltre certaines données du système infecté - trousseau, fichier hôte, historique bash, noms de dossier, etc. L'autre semble être une copie du Cobalt Strike Beacon. Il s'agit d'un cadre de pénétration de la sécurité que les cybercriminels utilisent parfois.
De toute évidence, les cybercriminels expérimentent toutes sortes d'astuces pour atteindre leurs victimes. La campagne OSX.ZuRu, en particulier, est très intrigante de cette manière. La meilleure façon de protéger votre système et vos données est d'utiliser un logiciel antivirus.