OSX.ZuRu

Une campagne d'attaque potentiellement massive fournit des menaces de logiciels malveillants aux utilisateurs chinois de macOS via des liens de recherche sponsorisés. Le premier à découvrir les opérations menaçantes est le chercheur d'infosec Zhi, qui se présente sous le nom de @CodeColorist sur Twitter. L'attaque implique un malware auparavant inconnu nommé OSX.ZuRu agissant comme une charge utile initiale qui supprime les menaces finales sur les systèmes compromis.

Pour l'opération, les auteurs de la menace ont créé un clone du site Web légitime iTerm2.com et l'ont placé sous l'adresse iTerm2.net. Les utilisateurs chinois qui rechercheraient « iTerm2 » verraient un lien sponsorisé menant au faux site. Sans remarquer que quelque chose sort de l'ordinaire, les utilisateurs cliqueraient simplement sur le bouton "Télécharger" et obtiendraient une image disque militarisée nommée "iTerm". Caché parmi les nombreux fichiers contenus dans l'image disque se trouve le fichier libcrypto.2.dylib corrompu, qui contient le malware OSX.ZuRu.

La principale fonctionnalité d'OSX.ZuRu consiste à récupérer les charges utiles de la prochaine étape du serveur Command-and-Control (C&C, C2) de la campagne. Il a été observé que la menace télécharge puis exécute un script python nommé « g.py » et un élément compromis nommé « GoogleUpdate ». Le script python est un voleur d'informations qui exécute une analyse complète du système et collecte de nombreux détails du système qui sont ensuite empaquetés et transmis. Quant à "GoogleUpdate", certaines preuves suggèrent qu'il pourrait s'agir d'une balise Cobal Strike.

OSX.ZuRu peut également obtenir certaines informations sur le système sur lequel il est présent. Il archive cette tâche via des chaînes de code intégrées. La menace peut obtenir à la fois un nom d'utilisateur et un nom de projet.