Falsk iTerm2 -webbplats sprider OSX.ZuRu -skadlig programvara
Medan de flesta cyberbrottslingar fortsätter att rikta hårt mot Windows -maskiner, finns det djärvare grupper där ute som går mer exotiska mål - som macOS -system. OSX.ZuRu är en av de senaste identifierade skadliga programvarorna som uteslutande går efter Mac -datorer. Dess skapare verkar förlita sig på sponsrade sökresultatlistor för att försöka hänvisa användare till en skadlig sida. De kriminella förfalskar faktiskt namnet på ett legitimt macOS -verktyg som heter iTerm2. Det är den officiella webbplatsen är iTerm2.com, men de kriminella är värd för en falsk version på iTerm2.net. Den andra sidan är utformad för att se ut exakt som den ursprungliga. På grund av användningen av sponsrade sökresultat kan användare som söker efter iTerm2 av misstag låna ut den falska webbplatsen.
För närvarande verkar brottslingarna bara rikta in sig på den kinesiska Baidu -sökmotorn. Det skulle dock inte vara en överraskning om de försöker utöka sin verksamhet inom en snar framtid. När en användare försöker ladda ner iTerm från den falska webbplatsen, kommer de att hänvisas till en tredje parts värdtjänst, som hämtar filen iTerm.dmg . Hittills ser allt ut på användarens skärm normalt - den enda märkbara röda flaggan är det lite annorlunda domännamnet. Men de flesta människor skulle inte märka detta.
Men detta är långt ifrån allt som skurkarna har gjort för att dölja sin onda aktivitet. När en användare kör och installerar den misstänkta iTerm.dmg -appen kommer de att få tillgång till en kopia av iTerm -skalet. Det verkar faktiskt fungera precis som originalet. Men det kommer också att köra skadlig kod i bakgrunden, där den verkliga magin händer.
Vad gör OSX.ZuRu?
Det första steget som denna skadliga program tar är att ansluta till en fjärrwebbapplikation och skicka lite information om offret. Den primära informationen som den skickar är enhetens serienummer. Efter detta försöker den upprätta en andra anslutning till en skadlig webbserver. Den senare är den farliga delen - den kan leverera en lång lista med nyttolaster. Dessa dolda nedladdningar bär ofta namnen på legitima appar och tjänster - t.ex. Google Update.
En av nyttolasterna verkar vara ett skript som exfiltrerar viss data från det infekterade systemet - nyckelring, värdfil, bashistorik, mappnamn etc. Den andra verkar vara en kopia av Cobalt Strike Beacon. Detta är en ram för säkerhetspenetration som cyberkriminella ibland använder.
Det är uppenbart att cyberkriminella experimenterar med alla möjliga otäcka knep för att nå sina offer. I synnerhet OSX.ZuRu -kampanjen är mycket spännande på detta sätt. Det bästa sättet att hålla ditt system och dina data säkra är att använda antivirusprogram.
