Netikra „iTerm2“ svetainė platina kenkėjišką programą „OSX.ZuRu“

Nors dauguma elektroninių nusikaltėlių ir toliau smarkiai taikosi į „Windows“ mašinas, yra drąsesnių grupių, kurios siekia egzotiškesnių tikslų, pavyzdžiui, „MacOS“ sistemų. „OSX.ZuRu“ yra viena iš naujausių identifikuotų kenkėjiškų programų, skirtų tik „Mac“. Atrodo, kad jos kūrėjai remiasi remiamu paieškos rezultatų sąrašu, norėdami nukreipti vartotojus į kenkėjišką puslapį. Nusikaltėliai iš tikrųjų klastos teisėto „MacOS“ įrankio, vadinamo „iTerm2“, pavadinimą. Oficiali svetainė yra „iTerm2.com“, tačiau nusikaltėliai „iTerm2.net“ talpina netikrą versiją. Antrasis puslapis sukurtas taip, kad atrodytų lygiai taip pat, kaip ir originalus. Naudojant remiamus paieškos rezultatus, „iTerm2“ ieškantys vartotojai per klaidą gali netyčia paskolinti suklastotą svetainę.

Šiuo metu atrodo, kad nusikaltėliai taikosi tik į Kinijos „Baidu“ paieškos variklį. Tačiau nenuostabu, jei artimiausiu metu jie bandytų išplėsti savo veiklą. Kai vartotojas bandys atsisiųsti „iTerm“ iš suklastotos svetainės, jis bus nukreiptas į trečiosios šalies prieglobos paslaugą, kuri atneša failą „ iTerm.dmg“ . Kol kas vartotojo ekrane viskas atrodo normaliai - vienintelė pastebima raudona vėliava yra šiek tiek kitoks domeno vardas. Tačiau dauguma žmonių to nepastebėtų.

Tačiau tai toli gražu ne viskas, ką sukčiai padarė slėpdami savo kenkėjišką veiklą. Kai vartotojas paleis ir įdiegs įtartiną „ iTerm.dmg“ programą, jie galiausiai gaus prieigą prie „iTerm“ apvalkalo kopijos. Tiesą sakant, atrodo, kad jis veikia kaip ir originalas. Tačiau ji taip pat vykdys kenkėjišką kodą fone, kur įvyksta tikroji magija.

Ką veikia OSX.ZuRu?

Pirmasis šios kenkėjiškos programos žingsnis yra prisijungti prie nuotolinės žiniatinklio programos ir nusiųsti tam tikrus duomenis apie auką. Pagrindinė informacija, kurią ji siunčia, yra įrenginio serijos numeris. Po to jis bando užmegzti antrą ryšį su kenkėjišku žiniatinklio serveriu. Pastaroji yra pavojinga dalis - ji gali pateikti ilgą naudingų krovinių sąrašą. Šiuose paslėptuose atsisiuntimuose dažnai yra teisėtų programų ir paslaugų pavadinimai, pvz., „Google“ naujinimas.

Atrodo, kad vienas iš naudingų krovinių yra scenarijus, kuris išfiltruoja tam tikrus duomenis iš užkrėstos sistemos - raktų pakabuką, pagrindinio kompiuterio failą, „bash“ istoriją, aplankų pavadinimus ir tt. Kitas atrodo kaip „Cobalt Strike Beacon“ kopija. Tai saugumo įsiskverbimo sistema, kurią kartais naudoja kibernetiniai nusikaltėliai.

Akivaizdu, kad elektroniniai nusikaltėliai eksperimentuoja su įvairiausiais nemaloniais triukais, kad pasiektų savo aukas. Visų pirma OSX.ZuRu kampanija yra labai įdomi. Geriausias būdas apsaugoti savo sistemą ir duomenis yra naudoti antivirusinę programinę įrangą.