OSX.ZuRu

잠재적으로 대규모 공격 캠페인이 후원 검색 링크를 통해 중국 macOS 사용자에게 맬웨어 위협을 전달하고 있습니다. 위협적인 작업을 처음 발견한 사람은 Twitter에서 @CodeColorist로 활동하는 infosec 연구원 Zhi입니다. 이 공격에는 손상된 시스템에 대한 최종 위협을 제거하는 초기 페이로드 역할을 하는 OSX.ZuRu라는 이전에 알려지지 않은 맬웨어가 포함됩니다.

이 작업을 위해 위협 행위자는 합법적인 iTerm2.com 웹 사이트의 복제본을 만들어 iTerm2.net 주소 아래에 배치했습니다. 'iTerm2'를 검색하는 중국 사용자에게는 가짜 사이트로 연결되는 스폰서 링크가 표시됩니다. 뭔가 이상하다는 것을 눈치채지 못한 채 사용자는 '다운로드' 버튼을 클릭하면 'iTerm'이라는 이름의 무기화된 디스크 이미지를 얻을 수 있습니다. 디스크 이미지에 포함된 수많은 파일 중 숨겨진 것은 OSX.ZuRu 악성코드를 포함하는 손상된 libcrypto.2.dylib 파일입니다.

OSX.ZuRu의 주요 기능은 캠페인의 명령 및 제어(C&C, C2) 서버에서 다음 단계 페이로드를 가져오는 것입니다. 위협은 'g.py'라는 python 스크립트와 'GoogleUpdate'라는 손상된 항목을 다운로드한 다음 실행하는 것으로 관찰되었습니다. python 스크립트는 시스템에 대한 포괄적인 검사를 실행하고 수많은 시스템 세부 정보를 수집한 다음 패키징 및 전송하는 정보 훔치기입니다. 'GoogleUpdate'의 경우 Cobal Strike 신호일 수 있다는 특정 증거가 있습니다.

OSX.ZuRu는 그것이 존재하는 시스템에 대한 특정 정보도 얻을 수 있습니다. 임베디드 코드 문자열을 통해 이 작업을 보관합니다. 위협 요소는 사용자 이름과 프로젝트 이름을 모두 얻을 수 있습니다.