OSX.ZuRu

Uma campanha de ataque potencialmente massiva está entregando ameaças de malware aos usuários chineses do macOS, por meio de links de busca patrocinados. O primeiro a descobrir as operações ameaçadoras é o pesquisador da infosec Zhi, que usa como @CodeColorist no Twitter. O ataque envolve um malware anteriormente desconhecido, denominado OSX.ZuRu que atua como uma carga de estágio inicial que elimina as ameaças finais nos sistemas comprometidos.

Para a operação, os atores da ameaça criaram um clone do site legítimo iTerm2.com e o colocaram sob o endereço iTerm2.net. Os usuários chineses que realizassem uma pesquisa do 'iTerm2' receberiam um link patrocinado que levaria ao site falso. Sem perceber que algo está fora do comum, os usuários simplesmente clicam no botão 'Download' e obtêm uma imagem de disco com o nome 'iTerm'. Oculto entre os vários arquivos contidos na imagem do disco está o arquivo libcrypto.2.dylib corrompido, que carrega o malware OSX.ZuRu.

A principal funcionalidade do OSX.ZuRu é buscar cargas úteis do próximo estágio do servidor de Comando e Controle (C&C, C2) da campanha. Observou-se que a ameaça baixou e executou um script Python chamado 'g.py' e um item comprometido chamado 'GoogleUpdate'. O script python é um ladrão de informações que executa uma varredura abrangente do sistema e coleta vários detalhes do sistema que são empacotados e transmitidos. Quanto ao 'GoogleUpdate', certas evidências sugerem que pode ser um sinalizador Cobal Strike.

OSX.ZuRu também pode obter certas informações sobre o sistema em que está presente. Ele arquiva essa tarefa por meio de strings de código embutidas. A ameaça pode obter um nome de usuário e um nome de projeto.