OSX.ZuRu

En potentiellt massiv attackkampanj levererar hot mot skadlig kod till kinesiska macOS -användare via sponsrade söklänkar. Den första som upptäckte de hotande operationerna är infosec -forskaren Zhi, som går som @CodeColorist på Twitter. Attacken innebär att en tidigare okänd skadlig kod som heter OSX.ZuRu fungerar som en inledande belastning som släpper de sista hoten mot komprometterade system.

För operationen skapade hotaktörerna en klon av den legitima iTerm2.com -webbplatsen och placerade den under iTerm2.net -adressen. Kinesiska användare som skulle söka efter 'iTerm2' skulle få en sponsrad länk som leder till den falska webbplatsen. Utan att märka att någonting är ovanligt, skulle användarna bara klicka på knappen "Ladda ner" och få en vapeniserad diskbild som heter "iTerm." Dold bland de många filer som finns i hårddiskavbildningen är den skadade libcrypto.2.dylib -filen som innehåller OSX.ZuRu -skadlig programvara.

Huvudfunktionen för OSX.ZuRu är att hämta nästa stegs nyttolast från kommando-och-kontroll (C&C, C2) -servern för kampanjen. Hotet har observerats att ladda ner och sedan köra ett python -skript med namnet 'g.py' och ett komprometterat objekt med namnet 'GoogleUpdate'. Python -skriptet är en informationsstjälare som kör en omfattande genomsökning av systemet och samlar in många systemdetaljer som sedan packas och överförs. När det gäller "GoogleUpdate" tyder vissa bevis på att det kan vara en Cobal Strike -led.

OSX.ZuRu kan också få viss information om systemet som det finns på. Den arkiverar den här uppgiften via inbäddade kodsträngar. Hotet kan få både ett användarnamn och ett projektnamn.