OSX.ZuRu

Потенциално масова кампания за атака доставя заплахи за злонамерен софтуер на китайските потребители на macOS чрез спонсорирани връзки за търсене. Първият, който открива заплашителните операции, е изследователят на инфосек Жи, който отива като @CodeColorist в Twitter. Атаката включва неизвестен преди това зловреден софтуер на име OSX.ZuRu, действащ като полезен товар от начален етап, който отхвърля крайните заплахи за компрометирани системи.

За операцията участниците в заплахата създадоха клонинг на легитимния уебсайт iTerm2.com и го поставиха под адреса iTerm2.net. На китайските потребители, които биха извършили търсене на „iTerm2“, ще бъде показана спонсорирана връзка, водеща до фалшивия сайт. Без да забелязват, че нещо е необичайно, потребителите просто щракват върху бутона „Изтегляне“ и получават въоръжено изображение на диска, наречено „iTerm“. Сред множеството файлове, съдържащи се в изображението на диска, е скрит повреденият файл libcrypto.2.dylib, който носи зловреден софтуер OSX.ZuRu.

Основната функционалност на OSX.ZuRu е да извлича полезен товар от следващ етап от сървъра за управление и управление (C&C, C2) на кампанията. Наблюдава се заплахата да изтегли и след това да изпълни скрипт на python с име „g.py“ и компрометиран елемент с име „GoogleUpdate“. Скриптът на python е крадец на информация, който изпълнява цялостно сканиране на системата и събира множество подробности за системата, които след това се пакетират и предават. Що се отнася до „GoogleUpdate“, някои доказателства сочат, че това може да е маяк на Cobal Strike.

OSX.ZuRu може да получи и определена информация за системата, в която присъства. Той архивира тази задача чрез вградени кодови низове. Заплахата може да получи както потребителско име, така и име на проект.