OSX.ZuRu

Potansiyel olarak büyük bir saldırı kampanyası, sponsorlu arama bağlantıları aracılığıyla Çinli macOS kullanıcılarına kötü amaçlı yazılım tehditleri sunuyor. Tehdit edici operasyonları ilk keşfeden, Twitter'da @CodeColorist olarak görev yapan infosec araştırmacısı Zhi. Saldırı, güvenliği ihlal edilmiş sistemlerdeki son tehditleri düşüren bir başlangıç aşaması yükü olarak görev yapan OSX.ZuRu adlı önceden bilinmeyen bir kötü amaçlı yazılımı içeriyor.

Operasyon için tehdit aktörleri meşru iTerm2.com web sitesinin bir klonunu oluşturdu ve onu iTerm2.net adresinin altına yerleştirdi. 'iTerm2' araması yapacak olan Çinli kullanıcılara, sahte siteye yönlendiren sponsorlu bir bağlantı gösterilecektir. Sıra dışı bir şey olduğunu fark etmeden, kullanıcılar sadece 'İndir' düğmesine tıklar ve 'iTerm' adlı silahlaştırılmış bir disk görüntüsü alırlardı. Disk görüntüsünde bulunan çok sayıda dosya arasında, OSX.ZuRu kötü amaçlı yazılımını taşıyan bozuk libcrypto.2.dylib dosyası gizlidir.

OSX.ZuRu'nun ana işlevi, kampanyanın Komuta ve Kontrol (C&C, C2) sunucusundan sonraki aşama yüklerini getirmektir. Tehdidin, 'g.py' adlı bir python komut dosyasını ve 'GoogleUpdate' adlı güvenliği ihlal edilmiş bir öğeyi indirip ardından çalıştırdığı gözlemlendi. Python betiği, sistemin kapsamlı bir taramasını çalıştıran ve daha sonra paketlenip iletilecek çok sayıda sistem ayrıntısını toplayan bir bilgi hırsızıdır. 'GoogleUpdate' ile ilgili olarak, belirli kanıtlar bunun bir Kobal Saldırısı işareti olabileceğini gösteriyor.

OSX.ZuRu, üzerinde bulunduğu sistem hakkında da belirli bilgiler edinebilir. Bu görevi gömülü kod dizileri aracılığıyla arşivler. Tehdit hem bir kullanıcı adı hem de bir proje adı alabilir.