OSX.ZuRu

Eine potenziell massive Angriffskampagne liefert chinesischen macOS-Benutzern Malware-Bedrohungen über gesponserte Suchlinks. Der erste, der die bedrohlichen Operationen entdeckt, ist der Infosec-Forscher Zhi, der als @CodeColorist auf Twitter auftritt. Bei dem Angriff handelt es sich um eine bisher unbekannte Malware namens OSX.ZuRu, die als Nutzlast in der Anfangsphase fungiert, die die letzten Bedrohungen auf kompromittierten Systemen beseitigt.

Für die Operation erstellten die Bedrohungsakteure einen Klon der legitimen iTerm2.com-Website und platzierten ihn unter der iTerm2.net-Adresse. Chinesischen Nutzern, die nach „iTerm2“ suchen, wird ein gesponserter Link angezeigt, der zu der gefälschten Website führt. Ohne zu bemerken, dass etwas ungewöhnlich ist, würden Benutzer einfach auf die Schaltfläche „Herunterladen“ klicken und ein waffenfähiges Disk-Image namens „iTerm“ erhalten. Unter den zahlreichen im Disk-Image enthaltenen Dateien versteckt sich die beschädigte Datei libcrypto.2.dylib, die die Malware OSX.ZuRu enthält.

Die Hauptfunktionalität von OSX.ZuRu besteht darin, Payloads der nächsten Stufe vom Command-and-Control-Server (C&C, C2) der Kampagne abzurufen. Es wurde beobachtet, dass die Bedrohung ein Python-Skript namens „g.py“ und ein kompromittiertes Element namens „GoogleUpdate“ herunterlädt und dann ausführt. Das Python-Skript ist ein Info-Stealer, der einen umfassenden Scan des Systems durchführt und zahlreiche Systemdetails sammelt, die dann verpackt und übertragen werden. Was "GoogleUpdate" angeht, deuten bestimmte Hinweise darauf hin, dass es sich möglicherweise um ein Cobal-Strike-Beacon handelt.

OSX.ZuRu kann auch bestimmte Informationen über das System abrufen, auf dem es vorhanden ist. Es archiviert diese Aufgabe über eingebettete Code-Strings. Die Bedrohung kann sowohl einen Benutzernamen als auch einen Projektnamen erhalten.