Il sito Web falso iTerm2 diffonde il malware OSX.ZuRu

Mentre la maggior parte dei criminali informatici continua a prendere di mira pesantemente le macchine Windows, ci sono gruppi più audaci là fuori che puntano a obiettivi più esotici, come i sistemi macOS. OSX.ZuRu è uno degli ultimi malware identificati a perseguire esclusivamente i Mac. I suoi creatori sembrano fare affidamento sull'elenco dei risultati di ricerca sponsorizzati per cercare di indirizzare gli utenti a una pagina dannosa. I criminali stanno effettivamente falsificando il nome di uno strumento macOS legittimo chiamato iTerm2. Il sito ufficiale è iTerm2.com, ma i criminali ospitano una versione falsa su iTerm2.net. La seconda pagina è progettata per assomigliare esattamente a quella originale. A causa dell'uso di risultati di ricerca sponsorizzati, gli utenti che cercano iTerm2 possono accidentalmente prestare sul sito Web falso per errore.

Attualmente, i criminali sembrano prendere di mira solo il motore di ricerca cinese Baidu. Tuttavia, non sarebbe una sorpresa se cercassero di espandere la loro attività nel prossimo futuro. Una volta che un utente tenta di scaricare iTerm dal sito Web fasullo, verrà indirizzato a un servizio di hosting di terze parti, che recupera il file iTerm.dmg . Finora, sullo schermo dell'utente tutto sembra normale: l'unica bandiera rossa evidente è il nome di dominio leggermente diverso. Tuttavia, la maggior parte delle persone non se ne accorgerebbe.

Ma questo è lontano da tutto ciò che i truffatori hanno fatto per nascondere la loro attività dannosa. Una volta che un utente esegue e installa l' app sospetta iTerm.dmg , finirà per ottenere l'accesso a una copia della shell iTerm. In effetti, sembra funzionare proprio come l'originale. Tuttavia, eseguirà anche codice dannoso in background, dove avviene la vera magia.

Cosa fa OSX.ZuRu?

Il primo passo che questo malware compie è connettersi a un'applicazione Web remota e inviare alcuni dati sulla vittima. L'informazione principale che invia è il numero di serie del dispositivo. Successivamente, tenta di stabilire una seconda connessione a un server Web dannoso. Quest'ultima è la parte pericolosa: può fornire un lungo elenco di carichi utili. Questi download nascosti spesso portano i nomi di app e servizi legittimi, ad esempio Google Update.

Uno dei payload sembra essere uno script che estrae determinati dati dal sistema infetto: portachiavi, file host, cronologia bash, nomi di cartelle, ecc. L'altro sembra essere una copia del Cobalt Strike Beacon. Si tratta di un framework di penetrazione della sicurezza utilizzato a volte dai criminali informatici.

Chiaramente, i criminali informatici stanno sperimentando tutti i tipi di trucchetti per raggiungere le loro vittime. La campagna OSX.ZuRu, in particolare, è molto intrigante in questo modo. Il modo migliore per proteggere il sistema e i dati è utilizzare un software antivirus.