OSX.ZuRu

潜在的に大規模な攻撃キャンペーンは、スポンサー付きの検索リンクを介して中国のmacOSユーザーにマルウェアの脅威を配信しています。脅迫的な作戦を最初に発見したのは、Twitterで@CodeColoristを務める情報セキュリティ研究者のZhiです。この攻撃には、OSX.ZuRuという名前のこれまで知られていなかったマルウェアが関与し、侵害されたシステムの最終的な脅威をドロップする初期段階のペイロードとして機能します。

この操作のために、攻撃者は正規のiTerm2.com Webサイトのクローンを作成し、iTerm2.netアドレスの下に配置しました。 「iTerm2」を検索する中国のユーザーには、偽のサイトにつながるスポンサーリンクが表示されます。何かが異常であることに気付かずに、ユーザーは「ダウンロード」ボタンをクリックするだけで、「iTerm」という名前の武器化されたディスクイメージを取得します。ディスクイメージに含まれる多数のファイルの中に隠されているのは、OSX.ZuRuマルウェアを運ぶ破損したlibcrypto.2.dylibファイルです。

OSX.ZuRuの主な機能は、キャンペーンのコマンドアンドコントロール（C＆C、C2）サーバーから次のステージのペイロードをフェッチすることです。この脅威は、「g.py」という名前のPythonスクリプトと、「GoogleUpdate」という名前の侵害されたアイテムをダウンロードして実行することが確認されています。 Pythonスクリプトは、システムの包括的なスキャンを実行し、パッケージ化されて送信される多数のシステムの詳細を収集する情報スティーラーです。 「GoogleUpdate」に関しては、特定の証拠がそれがCobalStrikeビーコンである可能性があることを示唆しています。

OSX.ZuRuは、それが存在するシステムに関する特定の情報も取得できます。埋め込まれたコード文字列を介してこのタスクをアーカイブします。脅威は、ユーザー名とプロジェクト名の両方を取得できます。