Fałszywa strona internetowa iTerm2 rozprzestrzenia szkodliwe oprogramowanie OSX.ZuRu

Podczas gdy większość cyberprzestępców nadal atakuje komputery z systemem Windows, istnieją odważniejsze grupy, które wybierają bardziej egzotyczne cele – takie jak systemy macOS. OSX.ZuRu jest jednym z ostatnio zidentyfikowanych szkodliwych programów, które są przeznaczone wyłącznie na komputery Mac. Wydaje się, że jego twórcy polegają na sponsorowanych wynikach wyszukiwania, aby spróbować skierować użytkowników do złośliwej strony. W rzeczywistości przestępcy podszywają się pod nazwę legalnego narzędzia macOS o nazwie iTerm2. Jest to oficjalna strona internetowa iTerm2.com, ale przestępcy hostują fałszywą wersję na iTerm2.net. Druga strona została zaprojektowana tak, aby wyglądała dokładnie tak, jak oryginalna. Ze względu na wykorzystanie sponsorowanych wyników wyszukiwania użytkownicy szukający iTerm2 mogą przez pomyłkę przypadkowo pożyczyć fałszywą witrynę.

Obecnie przestępcy atakują jedynie chińską wyszukiwarkę Baidu. Nie byłoby jednak niespodzianką, gdyby w najbliższym czasie próbowali rozszerzyć swoją działalność. Gdy użytkownik spróbuje pobrać iTerm z fałszywej witryny, zostanie skierowany do zewnętrznej usługi hostingowej, która pobierze plik iTerm.dmg . Póki co na ekranie użytkownika wszystko wygląda normalnie – jedyną zauważalną czerwoną flagą jest nieco inna nazwa domeny. Jednak większość ludzi by tego nie zauważyła.

Ale to nie wszystko, co oszuści zrobili, aby ukryć swoją złośliwą działalność. Gdy użytkownik uruchomi i zainstaluje podejrzaną aplikację iTerm.dmg , uzyska dostęp do kopii powłoki iTerm. W rzeczywistości wygląda na to, że działa tak samo jak oryginał. Jednak będzie również wykonywał złośliwy kod w tle, gdzie dzieje się prawdziwa magia.

Co robi OSX.ZuRu?

Pierwszym krokiem, jaki podejmuje to złośliwe oprogramowanie, jest połączenie się ze zdalną aplikacją internetową i wysłanie pewnych danych o ofierze. Podstawową informacją, którą wysyła, jest numer seryjny urządzenia. Następnie próbuje nawiązać drugie połączenie ze złośliwym serwerem sieciowym. Ta ostatnia jest niebezpieczna – może dostarczyć długą listę ładunków. Te ukryte pliki do pobrania często noszą nazwy legalnych aplikacji i usług – np. Google Update.

Jeden z ładunków wydaje się być skryptem, który wydobywa pewne dane z zainfekowanego systemu – pęk kluczy, plik hosts, historię bash, nazwy folderów itp. Drugi wydaje się być kopią Cobalt Strike Beacon. Jest to struktura penetracji bezpieczeństwa, z której czasami korzystają cyberprzestępcy.

Najwyraźniej cyberprzestępcy eksperymentują z różnego rodzaju paskudnymi sztuczkami, aby dotrzeć do swoich ofiar. Zwłaszcza kampania OSX.ZuRu jest pod tym względem bardzo intrygująca. Najlepszym sposobem na zapewnienie bezpieczeństwa systemu i danych jest korzystanie z oprogramowania antywirusowego.