OSX.ZuRu
एक संभावित बड़े पैमाने पर हमला अभियान प्रायोजित खोज लिंक के माध्यम से चीनी मैकोज़ उपयोगकर्ताओं को मैलवेयर खतरे प्रदान कर रहा है। धमकाने वाले ऑपरेशनों की खोज करने वाले पहले इन्फोसेक शोधकर्ता ज़ी हैं, जो ट्विटर पर @CodeColorist के रूप में जाते हैं। हमले में OSX.ZuRu नामक एक पूर्व अज्ञात मैलवेयर शामिल है जो प्रारंभिक चरण के पेलोड के रूप में कार्य करता है जो समझौता किए गए सिस्टम पर अंतिम खतरों को छोड़ देता है।
ऑपरेशन के लिए, धमकी देने वाले अभिनेताओं ने वैध iTerm2.com वेबसाइट का एक क्लोन बनाया और इसे iTerm2.net पते के तहत रखा। चीनी उपयोगकर्ता जो 'iTerm2' की खोज करेंगे, उन्हें एक प्रायोजित लिंक दिखाया जाएगा जो नकली साइट पर ले जाएगा। यह देखे बिना कि कुछ भी सामान्य नहीं है, उपयोगकर्ता केवल 'डाउनलोड' बटन पर क्लिक करेंगे और 'iTerm' नामक एक हथियारयुक्त डिस्क छवि प्राप्त करेंगे। डिस्क छवि में निहित कई फाइलों में छिपी हुई है दूषित libcrypto.2.dylib फ़ाइल, जो OSX.ZuRu मैलवेयर को वहन करती है।
OSX.ZuRu की मुख्य कार्यक्षमता अभियान के कमांड-एंड-कंट्रोल (C&C, C2) सर्वर से अगले चरण के पेलोड प्राप्त करना है। 'g.py' नाम की एक पायथन लिपि और 'GoogleUpdate' नामक एक समझौता किए गए आइटम को डाउनलोड करने और फिर निष्पादित करने के लिए खतरा देखा गया है। पायथन स्क्रिप्ट एक सूचना चोरी करने वाला है जो सिस्टम का एक व्यापक स्कैन चलाता है और कई सिस्टम विवरण एकत्र करता है जो तब पैक और प्रसारित होते हैं। जहां तक 'GoogleUpdate' का सवाल है, कुछ सबूत बताते हैं कि यह कोबल स्ट्राइक बीकन हो सकता है।
OSX.ZuRu उस सिस्टम के बारे में कुछ जानकारी प्राप्त कर सकता है जिस पर वह मौजूद है। यह इस कार्य को एम्बेडेड कोड स्ट्रिंग्स के माध्यम से संग्रहीत करता है। खतरा उपयोगकर्ता नाम और प्रोजेक्ट नाम दोनों प्राप्त कर सकता है।
