OSX.ZuRu

Een potentieel massale aanvalscampagne levert malwarebedreigingen aan Chinese macOS-gebruikers via gesponsorde zoeklinks. De eerste die de dreigende operaties ontdekt, is de infosec-onderzoeker Zhi, die als @CodeColorist op Twitter gaat. De aanval omvat een voorheen onbekende malware genaamd OSX.ZuRu die fungeert als een initiële payload die de laatste bedreigingen op gecompromitteerde systemen laat vallen.

Voor de operatie hebben de dreigingsactoren een kloon gemaakt van de legitieme iTerm2.com-website en deze onder het iTerm2.net-adres geplaatst. Chinese gebruikers die naar 'iTerm2' zoeken, krijgen een gesponsorde link te zien die naar de nepsite leidt. Zonder te merken dat er iets bijzonders is, zouden gebruikers gewoon op de knop 'Downloaden' klikken en een bewapende schijfkopie met de naam 'iTerm' krijgen. Verborgen tussen de talrijke bestanden in de schijfkopie is het beschadigde libcrypto.2.dylib-bestand, dat de OSX.ZuRu-malware bevat.

De belangrijkste functionaliteit van OSX.ZuRu is het ophalen van payloads in de volgende fase van de Command-and-Control (C&C, C2)-server van de campagne. Er is waargenomen dat de dreiging een python-script met de naam 'g.py' en een gecompromitteerd item met de naam 'GoogleUpdate' downloadt en vervolgens uitvoert. Het python-script is een info-stealer die een uitgebreide scan van het systeem uitvoert en talloze systeemdetails verzamelt die vervolgens worden verpakt en verzonden. Wat 'GoogleUpdate' betreft, er zijn aanwijzingen dat het een Cobal Strike-baken kan zijn.

OSX.ZuRu kan ook bepaalde informatie verkrijgen over het systeem waarop het aanwezig is. Het archiveert deze taak via ingesloten codestrings. De dreiging kan zowel een gebruikersnaam als een projectnaam krijgen.