OSX.ZuRu

Una campaña de ataque potencialmente masivo está enviando amenazas de malware a los usuarios chinos de macOS a través de enlaces de búsqueda patrocinados. El primero en descubrir las operaciones amenazadoras es el investigador de seguridad de información Zhi, que se hace llamar @CodeColorist en Twitter. El ataque involucra un malware previamente desconocido llamado OSX.ZuRu que actúa como una carga útil de etapa inicial que arroja las amenazas finales en los sistemas comprometidos.

Para la operación, los actores de la amenaza crearon un clon del sitio web legítimo iTerm2.com y lo colocaron bajo la dirección iTerm2.net. A los usuarios chinos que realicen una búsqueda de 'iTerm2' se les mostrará un enlace patrocinado que conduce al sitio falso. Sin darse cuenta de que algo está fuera de lo común, los usuarios simplemente hacen clic en el botón 'Descargar' y obtienen una imagen de disco armada llamada 'iTerm'. Escondido entre los numerosos archivos contenidos en la imagen del disco se encuentra el archivo libcrypto.2.dylib dañado, que lleva el malware OSX.ZuRu.

La funcionalidad principal de OSX.ZuRu es buscar cargas útiles de la siguiente etapa desde el servidor de Comando y Control (C&C, C2) de la campaña. Se ha observado que la amenaza descarga y luego ejecuta un script de Python llamado 'g.py' y un elemento comprometido llamado 'GoogleUpdate'. El script de Python es un ladrón de información que ejecuta un escaneo completo del sistema y recopila numerosos detalles del sistema que luego se empaquetan y transmiten. En cuanto a 'GoogleUpdate', cierta evidencia sugiere que puede ser una baliza de Cobal Strike.

OSX.ZuRu también puede obtener cierta información sobre el sistema en el que está presente. Archiva esta tarea a través de cadenas de código incrustadas. La amenaza puede obtener tanto un nombre de usuario como un nombre de proyecto.