偽のiTerm2WebサイトがOSX.ZuRuマルウェアを拡散

ほとんどのサイバー犯罪者は引き続きWindowsマシンを厳しく標的にしていますが、macOSシステムのように、よりエキゾチックな標的を狙う大胆なグループもあります。 OSX.ZuRuは、Macだけを追いかける最新のマルウェアの1つです。その作成者は、ユーザーに悪意のあるページを紹介するために、スポンサー付きの検索結果リストに依存しているようです。犯罪者は実際には、iTerm2と呼ばれる正規のmacOSツールの名前を偽装しています。公式サイトはiTerm2.comですが、犯罪者はiTerm2.netで偽のバージョンをホストしています。 2ページ目は、元のページとまったく同じように見えるように設計されています。スポンサー付きの検索結果を使用しているため、iTerm2を検索しているユーザーが誤って偽のWebサイトに貸し出している可能性があります。

現在、犯罪者は中国のBaidu検索エンジンのみを標的にしているようです。しかし、近い将来に事業を拡大しようとしても驚くことではありません。ユーザーが偽のWebサイトからiTermをダウンロードしようとすると、サードパーティのホスティングサービスが参照され、ファイルiTerm.dmgがフェッチされます。これまでのところ、ユーザーの画面ではすべてが正常に見えます。目立つ赤いフラグは、わずかに異なるドメイン名だけです。しかし、ほとんどの人はこれに気付かないでしょう。

しかし、これは、詐欺師が悪意のある活動を隠すために行ったすべてのことからはほど遠いものです。ユーザーが疑わしいiTerm.dmgアプリを実行してインストールすると、iTermシェルのコピーキャットにアクセスできるようになります。実際、オリジナルと同じように機能しているように見えます。ただし、実際の魔法が発生するバックグラウンドで悪意のあるコードも実行されます。

OSX.ZuRuは何をしますか？

このマルウェアが実行する最初のステップは、リモートWebアプリケーションに接続し、被害者に関するデータを送信することです。送信する主要な情報は、デバイスのシリアル番号です。この後、悪意のあるWebサーバーへの2番目の接続を確立しようとします。後者は危険な部分です–それはペイロードの長いリストを提供することができます。これらの非表示のダウンロードには、多くの場合、正規のアプリやサービスの名前が付けられています（例：Google Update）。

ペイロードの1つは、感染したシステムから特定のデータ（キーチェーン、hostsファイル、bash履歴、フォルダー名など）を盗み出すスクリプトのようです。もう1つは、Cobalt StrikeBeaconのコピーのようです。これは、サイバー犯罪者が時々使用するセキュリティ浸透フレームワークです。

明らかに、サイバー犯罪者は被害者に到達するためにあらゆる種類の厄介なトリックを実験しています。特にOSX.ZuRuキャンペーンは、このように非常に興味をそそられます。システムとデータを安全に保つための最良の方法は、ウイルス対策ソフトウェアを使用することです。