Falske iTerm2 -nettstedet sprer OSX.ZuRu -skadelig programvare

Mens de fleste nettkriminelle fortsetter å målrette Windows -maskiner tungt, er det dristigere grupper der ute som går mer eksotiske mål - som macOS -systemer. OSX.ZuRu er en av de siste identifiserte skadelige programmene som utelukkende har fulgt Mac. Det ser ut til at skaperne stoler på oppføringen av sponsede søkeresultater for å prøve å henvise brukere til en ondsinnet side. Kriminelle lurer faktisk navnet på et legitimt macOS -verktøy kalt iTerm2. Det er det offisielle nettstedet iTerm2.com, men de kriminelle er vert for en falsk versjon på iTerm2.net. Den andre siden er designet for å se akkurat ut som den originale. På grunn av bruk av sponsede søkeresultater, kan brukere som søker etter iTerm2 ved et uhell låne ut på det falske nettstedet ved en feiltakelse.

For øyeblikket ser det ut til at kriminelle bare retter seg mot den kinesiske Baidu -søkemotoren. Det ville imidlertid ikke være en overraskelse hvis de prøvde å utvide driften i nær fremtid. Når en bruker prøver å laste ned iTerm fra det falske nettstedet, blir de henvist til en tredjeparts hostingtjeneste, som henter filen iTerm.dmg . Så langt ser alt på brukerens skjerm normalt ut - det eneste merkbare røde flagget er det litt annerledes domenenavnet. Imidlertid ville de fleste ikke legge merke til dette.

Men dette er langt fra alt som skurkene har gjort for å skjule sin ondsinnede aktivitet. Når en bruker kjører og installerer den mistenkelige iTerm.dmg -appen, vil de ende opp med å få tilgang til en kopi av iTerm -skallet. Faktisk ser det ut til å fungere akkurat som originalen. Imidlertid vil den også utføre ondsinnet kode i bakgrunnen, der den virkelige magien skjer.

Hva gjør OSX.ZuRu?

Det første trinnet som denne skadelige programvaren tar, er å koble til et eksternt webprogram og sende data om offeret. Den viktigste informasjonen den sender er serienummeret til enheten. Etter dette prøver den å etablere en ny tilkobling til en ondsinnet webserver. Sistnevnte er den farlige delen - den kan levere en lang liste med nyttelast. Disse skjulte nedlastingene bærer ofte navnene på legitime apper og tjenester - f.eks. Google Update.

En av nyttelastene ser ut til å være et skript som eksfiltrerer visse data fra det infiserte systemet - nøkkelring, hosts -fil, bash -historie, mappenavn, etc. Den andre ser ut til å være en kopi av Cobalt Strike Beacon. Dette er et rammeverk for sikkerhetspenetrasjon som nettkriminelle noen ganger bruker.

Det er klart at nettkriminelle eksperimenterer med alle slags ekle triks for å nå sine ofre. Spesielt OSX.ZuRu -kampanjen er veldig spennende på denne måten. Den beste måten å holde systemet og dataene dine på, er å bruke antivirusprogramvare.