O site falso do iTerm2 espalha o malware OSX.ZuRu

Embora a maioria dos cibercriminosos continue a visar pesadamente as máquinas Windows, existem grupos mais ousados que buscam alvos mais exóticos - como os sistemas macOS. O OSX.ZuRu é um dos mais recentes malwares identificados para perseguir Macs exclusivamente. Seus criadores parecem estar contando com uma lista de resultados de pesquisa patrocinada para tentar encaminhar os usuários a uma página maliciosa. Os criminosos estão, na verdade, falsificando o nome de uma ferramenta legítima do macOS chamada iTerm2. Seu site oficial é iTerm2.com, mas os criminosos estão hospedando uma versão falsa em iTerm2.net. A segunda página foi projetada para se parecer exatamente com a original. Por causa do uso de resultados de pesquisa patrocinados, os usuários que procuram por iTerm2 podem emprestar acidentalmente no site falso por engano.

Atualmente, os criminosos parecem ter como alvo apenas o mecanismo de busca Baidu chinês. No entanto, não seria uma surpresa se eles tentassem expandir sua operação em um futuro próximo. Quando um usuário tenta baixar o iTerm de um site falso, ele será encaminhado a um serviço de hospedagem de terceiros, que busca o arquivo iTerm.dmg . Até agora, na tela do usuário tudo parece normal - a única bandeira vermelha perceptível é o nome de domínio ligeiramente diferente. No entanto, a maioria das pessoas não notaria isso.

Mas isso está longe de tudo o que os criminosos têm feito para ocultar suas atividades maliciosas. Depois que um usuário executa e instala o aplicativo iTerm.dmg suspeito, ele acaba obtendo acesso a um copiador do shell do iTerm. Na verdade, parece funcionar exatamente como o original. No entanto, ele também executará código malicioso em segundo plano, onde a verdadeira mágica acontece.

O que OSX.ZuRu faz?

A primeira etapa desse malware é conectar-se a um aplicativo remoto da Web e enviar alguns dados sobre a vítima. A principal informação que ele envia é o número de série do dispositivo. Depois disso, ele tenta estabelecer uma segunda conexão com um servidor Web malicioso. A última é a parte perigosa - pode entregar uma longa lista de cargas úteis. Esses downloads ocultos geralmente trazem nomes de aplicativos e serviços legítimos - por exemplo, Google Update.

Uma das cargas parece ser um script que exfila certos dados do sistema infectado - keychain, arquivo de hosts, histórico do bash, nomes de pastas etc. O outro parece ser uma cópia do Cobalt Strike Beacon. Esta é uma estrutura de penetração de segurança que os cibercriminosos às vezes usam.

Claramente, os cibercriminosos estão experimentando todos os tipos de truques desagradáveis para alcançar suas vítimas. A campanha OSX.ZuRu, em particular, é muito intrigante dessa maneira. A melhor maneira de manter seu sistema e dados seguros é usar um software antivírus.