OSX.ZuRu

En potentielt massiv angrebskampagne leverer malware -trusler til kinesiske macOS -brugere via sponsorerede søgelinks. Den første til at opdage de truende operationer er infosec -forskeren Zhi, der går som @CodeColorist på Twitter. Angrebet involverer en tidligere ukendt malware ved navn OSX.ZuRu, der fungerer som en indledende belastning, der slipper de sidste trusler mod kompromitterede systemer.

Til operationen oprettede trusselsaktørerne en klon af det legitime iTerm2.com -websted og placerede det under iTerm2.net -adressen. Kinesiske brugere, der ville foretage en søgning efter 'iTerm2', vil blive vist et sponsoreret link, der fører til det falske websted. Uden at lægge mærke til, at noget er usædvanligt, ville brugerne bare klikke på knappen 'Download' og få et våbenbaseret diskbillede med navnet 'iTerm'. Skjult blandt de mange filer i diskbilledet er den beskadigede libcrypto.2.dylib -fil, der bærer OSX.ZuRu -malware.

Hovedfunktionen i OSX.ZuRu er at hente næste trin nyttelast fra Command-and-Control (C&C, C2) serveren i kampagnen. Truslen er blevet observeret for at downloade og derefter udføre et python -script med navnet 'g.py' og et kompromitteret element med navnet 'GoogleUpdate'. Python -scriptet er en info -stjæler, der kører en omfattende scanning af systemet og indsamler talrige systemoplysninger, der derefter pakkes og overføres. Hvad angår 'GoogleUpdate', tyder visse beviser på, at det kan være et Cobal Strike -fyrtårn.

OSX.ZuRu kan også få visse oplysninger om systemet, det er til stede på. Det arkiverer denne opgave via integrerede kodestrenge. Truslen kan både få et brugernavn og et projektnavn.