Поддельный веб-сайт iTerm2 распространяет вредоносное ПО OSX.ZuRu

В то время как большинство киберпреступников продолжают активно атаковать компьютеры с Windows, существуют более смелые группы, которые преследуют более экзотические цели - например, системы MacOS. OSX.ZuRu - одно из последних выявленных вредоносных программ, предназначенных исключительно для компьютеров Mac. Создатели, похоже, полагаются на список спонсируемых результатов поиска, чтобы попытаться перенаправить пользователей на вредоносную страницу. Преступники фактически подделывают имя законного инструмента macOS под названием iTerm2. Это официальный сайт iTerm2.com, но преступники размещают на iTerm2.net поддельную версию. Вторая страница оформлена так, чтобы выглядеть точно так же, как и исходная. Из-за использования спонсируемых результатов поиска пользователи, которые ищут iTerm2, могут случайно по ошибке ссудить на поддельном веб-сайте.

В настоящее время преступники, похоже, нацелены только на китайскую поисковую систему Baidu. Однако неудивительно, если они попытаются в ближайшем будущем расширить свою деятельность. Как только пользователь попытается загрузить iTerm с поддельного веб-сайта, он будет перенаправлен на стороннюю службу хостинга, которая загрузит файл iTerm.dmg. Пока что на экране пользователя все выглядит нормально - единственный заметный красный флаг - это немного другое доменное имя. Однако большинство людей этого не заметят.

Но это далеко не все, что злоумышленники сделали для сокрытия своей вредоносной деятельности. Как только пользователь запустит и установит подозрительное приложение iTerm.dmg, он получит доступ к копии оболочки iTerm. Фактически, похоже, что он работает так же, как оригинал. Однако он также будет выполнять вредоносный код в фоновом режиме, где происходит настоящее волшебство.

Что делает OSX.ZuRu?

Первый шаг, который предпринимает эта вредоносная программа, - это подключение к удаленному веб-приложению и отправка некоторых данных о жертве. Основная информация, которую он отправляет, - это серийный номер устройства. После этого он пытается установить второе соединение с вредоносным веб-сервером. Последнее является опасной частью - оно может доставить длинный список полезных нагрузок. Эти скрытые загрузки часто носят названия законных приложений и служб, например, Google Update.

Одна из полезных нагрузок, по-видимому, представляет собой сценарий, который извлекает определенные данные из зараженной системы - связку ключей, файл hosts, историю bash, имена папок и т. Д. Другой, похоже, является копией Cobalt Strike Beacon. Это система проникновения в систему безопасности, которую иногда используют киберпреступники.

Ясно, что киберпреступники экспериментируют со всеми видами неприятных уловок, чтобы добраться до своих жертв. В этом смысле очень интригует кампания OSX.ZuRu. Лучший способ защитить вашу систему и данные - использовать антивирусное программное обеспечение.