OSX.ZuRu

Кампания потенциально массовых атак заключается в доставке вредоносных программ китайским пользователям macOS через спонсируемые поисковые ссылки. Первым, кто обнаруживает угрожающие операции, является исследователь информационной безопасности Чжи, который в Твиттере известен как @CodeColorist. Атака включает ранее неизвестное вредоносное ПО под названием OSX.ZuRu, которое действует как полезная нагрузка начальной стадии, которая отбрасывает последние угрозы на скомпрометированные системы.

Для операции злоумышленники создали клон легитимного веб-сайта iTerm2.com и разместили его по адресу iTerm2.net. Китайским пользователям, которые будут вводить поисковый запрос «iTerm2», будет показана рекламная ссылка, ведущая на поддельный сайт. Не замечая, что что-то необычное, пользователи просто нажимали кнопку «Загрузить» и получали образ диска с именем «iTerm». Среди множества файлов, содержащихся в образе диска, скрывается поврежденный файл libcrypto.2.dylib, содержащий вредоносное ПО OSX.ZuRu.

Основная функция OSX.ZuRu - получение полезных данных следующего этапа с сервера управления кампанией (C&C, C2). Было обнаружено, что угроза загружает и затем выполняет скрипт Python с именем «g.py» и скомпрометированный элемент с именем «GoogleUpdate». Скрипт python - это программа для кражи информации, которая выполняет всестороннее сканирование системы и собирает многочисленные сведения о системе, которые затем упаковываются и передаются. Что касается GoogleUpdate, некоторые данные свидетельствуют о том, что это может быть маяк Cobal Strike.

OSX.ZuRu также может получить определенную информацию о системе, в которой он присутствует. Он архивирует эту задачу с помощью встроенных строк кода. Угроза может получить как имя пользователя, так и имя проекта.