OSX.ZuRu

Potencjalnie masowa kampania ataków dostarcza zagrożenia ze strony złośliwego oprogramowania chińskim użytkownikom systemu macOS za pośrednictwem sponsorowanych linków wyszukiwania. Pierwszym, który odkrył groźne operacje, jest badacz informatyki Zhi, który występuje na Twitterze jako @CodeColorist. Atak obejmuje nieznane wcześniej złośliwe oprogramowanie o nazwie OSX.ZuRu, które działa jako ładunek na początkowym etapie, który usuwa ostatnie zagrożenia z zaatakowanych systemów.

Na potrzeby tej operacji cyberprzestępcy stworzyli klon legalnej witryny iTerm2.com i umieścili ją pod adresem iTerm2.net. Chińscy użytkownicy, którzy przeprowadziliby wyszukiwanie hasła „iTerm2”, otrzymywali link sponsorowany prowadzący do fałszywej witryny. Nie zauważając, że coś jest nietypowe, użytkownicy po prostu klikaliby przycisk „Pobierz” i otrzymali uzbrojony obraz dysku o nazwie „iTerm”. Wśród licznych plików zawartych w obrazie dysku ukryty jest uszkodzony plik libcrypto.2.dylib, który zawiera złośliwe oprogramowanie OSX.ZuRu.

Główną funkcjonalnością OSX.ZuRu jest pobieranie ładunków następnego etapu z serwera Command-and-Control (C&C, C2) kampanii. Zaobserwowano zagrożenie polegające na pobraniu, a następnie wykonaniu skryptu Pythona o nazwie „g.py” i zhakowanego elementu o nazwie „GoogleUpdate”. Skrypt Pythona to złodziej informacji, który przeprowadza kompleksowe skanowanie systemu i zbiera wiele szczegółów systemu, które są następnie pakowane i przesyłane. Jeśli chodzi o „GoogleUpdate”, pewne dowody sugerują, że może to być latarnia morska Cobal Strike.

OSX.ZuRu może również uzyskać pewne informacje o systemie, w którym jest obecny. Archiwizuje to zadanie za pomocą osadzonych ciągów kodu. Zagrożenie może uzyskać zarówno nazwę użytkownika, jak i nazwę projektu.