OSX.ZuRu

Una campagna di attacchi potenzialmente massiccia sta fornendo minacce malware agli utenti cinesi di macOS tramite link di ricerca sponsorizzati. Il primo a scoprire le operazioni minacciose è il ricercatore di infosec Zhi, che su Twitter si fa @CodeColorist. L'attacco coinvolge un malware precedentemente sconosciuto chiamato OSX.ZuRu che agisce come un payload nella fase iniziale che elimina le minacce finali sui sistemi compromessi.

Per l'operazione, gli attori della minaccia hanno creato un clone del sito Web legittimo iTerm2.com e lo hanno inserito nell'indirizzo iTerm2.net. Agli utenti cinesi che eseguirebbero una ricerca per "iTerm2" verrebbe mostrato un link sponsorizzato che conduce al sito falso. Senza notare che qualcosa è fuori dall'ordinario, gli utenti dovrebbero semplicemente fare clic sul pulsante "Download" e ottenere un'immagine del disco armata denominata "iTerm". Nascosto tra i numerosi file contenuti nell'immagine del disco è il file libcrypto.2.dylib corrotto, che trasporta il malware OSX.ZuRu.

La funzionalità principale di OSX.ZuRu è recuperare i payload della fase successiva dal server Command-and-Control (C&C, C2) della campagna. È stato osservato che la minaccia scarica e quindi esegue uno script Python denominato "g.py" e un elemento compromesso denominato "GoogleUpdate". Lo script python è un ladro di informazioni che esegue una scansione completa del sistema e raccoglie numerosi dettagli del sistema che vengono poi impacchettati e trasmessi. Per quanto riguarda "GoogleUpdate", alcune prove suggeriscono che potrebbe essere un faro di Cobal Strike.

OSX.ZuRu può anche ottenere alcune informazioni sul sistema su cui è presente. Archivia questa attività tramite stringhe di codice incorporate. La minaccia può ottenere sia un nome utente che un nome progetto.