Valse iTerm2-website verspreidt de OSX.ZuRu-malware

Hoewel de meeste cybercriminelen zich blijven richten op Windows-machines, zijn er moedigere groepen die zich op meer exotische doelen richten, zoals macOS-systemen. De OSX.ZuRu is een van de laatst geïdentificeerde malware die exclusief op Macs is gericht. De makers lijken te vertrouwen op gesponsorde zoekresultaten om gebruikers naar een kwaadaardige pagina te verwijzen. De criminelen vervalsen eigenlijk de naam van een legitieme macOS-tool genaamd iTerm2. De officiële website is iTerm2.com, maar de criminelen hosten een valse versie op iTerm2.net. De tweede pagina is ontworpen om er precies zo uit te zien als de originele. Vanwege het gebruik van gesponsorde zoekresultaten, kunnen gebruikers die naar iTerm2 zoeken, per ongeluk per ongeluk lenen op de nepwebsite.

Momenteel lijken de criminelen zich alleen te richten op de Chinese Baidu-zoekmachine. Het zou echter geen verrassing zijn als ze in de nabije toekomst zouden proberen hun activiteiten uit te breiden. Zodra een gebruiker iTerm probeert te downloaden van de nepwebsite, wordt hij doorverwezen naar een externe hostingservice, die het bestand iTerm.dmg ophaalt . Tot nu toe ziet alles er normaal uit op het scherm van de gebruiker - de enige opvallende rode vlag is de iets andere domeinnaam. De meeste mensen zouden dit echter niet merken.

Maar dit is verre van alles wat de boeven hebben gedaan om hun kwaadaardige activiteiten te verbergen. Zodra een gebruiker de verdachte iTerm.dmg- app uitvoert en installeert, krijgen ze uiteindelijk toegang tot een copycat van de iTerm-shell. In feite lijkt het net als het origineel te werken. Het zal echter ook kwaadaardige code op de achtergrond uitvoeren, waar de echte magie plaatsvindt.

Wat doet OSX.ZuRu?

De eerste stap die deze malware neemt, is om verbinding te maken met een externe webtoepassing en wat gegevens over het slachtoffer te verzenden. Het belangrijkste stuk informatie dat het verzendt, is het serienummer van het apparaat. Hierna probeert het een tweede verbinding tot stand te brengen met een kwaadaardige webserver. Dit laatste is het gevaarlijke deel - het kan een lange lijst met nuttige ladingen opleveren. Deze verborgen downloads dragen vaak de namen van legitieme apps en services, bijvoorbeeld Google Update.

Een van de payloads lijkt een script te zijn dat bepaalde gegevens uit het geïnfecteerde systeem exfiltreert - sleutelhanger, hosts-bestand, bash-geschiedenis, mapnamen, enz. De andere lijkt een kopie te zijn van het Cobalt Strike Beacon. Dit is een raamwerk voor beveiligingspenetratie dat soms door cybercriminelen wordt gebruikt.

Het is duidelijk dat cybercriminelen experimenteren met allerlei gemene trucs om hun slachtoffers te bereiken. Vooral de OSX.ZuRu-campagne is op deze manier erg intrigerend. De beste manier om uw systeem en gegevens veilig te houden, is door antivirussoftware te gebruiken.