OSX.ZuRu

一个潜在的大规模攻击活动正在通过赞助搜索链接向中国 macOS 用户提供恶意软件威胁。第一个发现威胁操作的是信息安全研究员zhi，他在推特上以@CodeColorist 的身份出现。该攻击涉及一个名为 OSX.ZuRu 的先前未知的恶意软件，它充当初始阶段的有效载荷，将最终威胁投放到受感染的系统上。

在这次行动中，攻击者创建了合法 iTerm2.com 网站的克隆，并将其放置在 iTerm2.net 地址下。搜索“iTerm2”的中国用户将看到一个指向虚假网站的赞助链接。在没有注意到任何异常的情况下，用户只需单击“下载”按钮即可获得名为“iTerm”的武器化磁盘映像。磁盘映像中包含的众多文件中隐藏着损坏的 libcrypto.2.dylib 文件，该文件携带 OSX.ZuRu 恶意软件。

OSX.ZuRu 的主要功能是从活动的命令和控制（C&C，C2）服务器获取下一阶段的有效载荷。已观察到该威胁会下载并执行名为“g.py”的 Python 脚本和名为“GoogleUpdate”的受感染项目。 python 脚本是一个信息窃取程序，它对系统进行全面扫描并收集大量系统详细信息，然后将其打包和传输。至于“GoogleUpdate”，某些证据表明它可能是 Cobal Strike 的信标。

OSX.ZuRu 也可以获得有关它所在系统的某些信息。它通过嵌入的代码字符串来归档这个任务。威胁可以获取用户名和项目名。