OSX.ZuRu

一個潛在的大規模攻擊活動正在通過贊助搜索鏈接向中國 macOS 用戶提供惡意軟件威脅。第一個發現威脅操作的是信息安全研究員zhi，他在推特上以@CodeColorist 的身份出現。該攻擊涉及一個名為 OSX.ZuRu 的先前未知的惡意軟件，它充當初始階段的有效載荷，將最終威脅投放到受感染的系統上。

在這次行動中，攻擊者創建了合法 iTerm2.com 網站的克隆，並將其放置在 iTerm2.net 地址下。搜索“iTerm2”的中國用戶將看到一個指向虛假網站的讚助鏈接。在沒有註意到任何異常的情況下，用戶只需單擊“下載”按鈕即可獲得名為“iTerm”的武器化磁盤映像。磁盤映像中包含的眾多文件中隱藏著損壞的 libcrypto.2.dylib 文件，該文件攜帶 OSX.ZuRu 惡意軟件。

OSX.ZuRu 的主要功能是從活動的命令和控制（C&C，C2）服務器獲取下一階段的有效載荷。已觀察到該威脅會下載並執行名為“g.py”的 Python 腳本和名為“GoogleUpdate”的受感染項目。 python 腳本是一個信息竊取程序，它對系統進行全面掃描並收集大量系統詳細信息，然後將其打包和傳輸。至於“GoogleUpdate”，某些證據表明它可能是 Cobal Strike 的信標。

OSX.ZuRu 也可以獲得有關它所在系統的某些信息。它通過嵌入的代碼字符串來歸檔這個任務。威脅可以獲取用戶名和項目名。