假 iTerm2 網站傳播 OSX.ZuRu 惡意軟件
雖然大多數網絡犯罪分子繼續大量針對 Windows 計算機,但也有一些更大膽的團體針對更奇特的目標——比如 macOS 系統。 OSX.ZuRu 是最新發現的專門針對 Mac 的惡意軟件之一。它的創建者似乎依靠贊助搜索結果列表來嘗試將用戶引向惡意頁面。犯罪分子實際上是在冒充名為 iTerm2 的合法 macOS 工具的名稱。它的官方網站是 iTerm2.com,但犯罪分子在 iTerm2.net 上託管了一個假冒版本。第二頁的設計與原始頁面完全一樣。由於使用了贊助搜索結果,搜索iTerm2的用戶可能會不小心誤借到假網站上。
目前,犯罪分子似乎只針對中文百度搜索引擎。但是,如果他們試圖在不久的將來擴大業務,也就不足為奇了。一旦用戶嘗試從虛假網站下載 iTerm,他們將被轉介到第三方託管服務,該服務獲取文件iTerm.dmg 。到目前為止,在用戶的屏幕上一切看起來都很正常——唯一明顯的危險信號是略有不同的域名。然而,大多數人不會注意到這一點。
但這與騙子為隱藏其惡意活動所做的一切相去甚遠。一旦用戶執行並安裝可疑的iTerm.dmg應用程序,他們最終將獲得 iTerm shell 的複製品。事實上,它似乎和原來的一樣工作。然而,它也會在後台執行惡意代碼,真正的魔法發生在那裡。
OSX.ZuRu 做什麼?
此惡意軟件採取的第一步是連接到遠程 Web 應用程序並發送有關受害者的一些數據。它發送的主要信息是設備的序列號。此後,它會嘗試與惡意 Web 服務器建立第二個連接。後者是危險的部分——它可以提供一長串有效載荷。這些隱藏的下載通常帶有合法應用程序和服務的名稱,例如 Google 更新。
其中一個有效載荷似乎是從受感染系統中竊取某些數據的腳本——鑰匙串、主機文件、bash 歷史記錄、文件夾名稱等。另一個似乎是 Cobalt Strike Beacon 的副本。這是網絡犯罪分子有時使用的安全滲透框架。
顯然,網絡犯罪分子正在試驗各種令人討厭的技巧來接觸他們的受害者。 OSX.ZuRu 活動尤其以這種方式非常有趣。確保系統和數據安全的最佳方法是使用防病毒軟件。