假 iTerm2 网站传播 OSX.ZuRu 恶意软件
虽然大多数网络犯罪分子继续大量针对 Windows 计算机,但也有一些更大胆的团体针对更奇特的目标——例如 macOS 系统。 OSX.ZuRu 是最新发现的专门针对 Mac 的恶意软件之一。它的创建者似乎依靠赞助搜索结果列表来尝试将用户引向恶意页面。犯罪分子实际上是在冒充名为 iTerm2 的合法 macOS 工具的名称。它的官方网站是 iTerm2.com,但犯罪分子在 iTerm2.net 上托管了一个假冒版本。第二页的设计与原始页面完全一样。由于使用了赞助搜索结果,搜索iTerm2的用户可能会不小心误借到假网站上。
目前,犯罪分子似乎只针对中文百度搜索引擎。但是,如果他们试图在不久的将来扩大业务,也就不足为奇了。一旦用户尝试从虚假网站下载 iTerm,他们将被转介到第三方托管服务,该服务获取文件iTerm.dmg 。到目前为止,在用户的屏幕上一切看起来都很正常——唯一明显的危险信号是略有不同的域名。然而,大多数人不会注意到这一点。
但这与骗子为隐藏其恶意活动所做的一切相去甚远。一旦用户执行并安装可疑的iTerm.dmg应用程序,他们最终将获得 iTerm shell 的复制品。事实上,它似乎和原来的一样工作。然而,它也会在后台执行恶意代码,真正的魔法发生在那里。
OSX.ZuRu 做什么?
此恶意软件采取的第一步是连接到远程 Web 应用程序并发送有关受害者的一些数据。它发送的主要信息是设备的序列号。此后,它会尝试与恶意 Web 服务器建立第二个连接。后者是危险的部分——它可以提供一长串有效载荷。这些隐藏的下载通常带有合法应用程序和服务的名称,例如 Google 更新。
其中一个有效载荷似乎是从受感染系统中窃取某些数据的脚本——钥匙串、主机文件、bash 历史记录、文件夹名称等。另一个似乎是 Cobalt Strike Beacon 的副本。这是网络犯罪分子有时使用的安全渗透框架。
显然,网络犯罪分子正在试验各种令人讨厌的技巧来接触他们的受害者。 OSX.ZuRu 活动尤其以这种方式非常有趣。确保系统和数据安全的最佳方法是使用防病毒软件。
