Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Обнаружен новый троян для macOS, способный воровать информацию и, возможно, открывать бэкдор. Зловред, замаскированный под iTerm2 (бесплатный аналог утилиты «Терминал»)  распространяется через спонсорские ссылки в результатах поисковой выдачи.

Новобранец, которого ИБ-эксперт Патрик Уордл (Patrick Wardle) назвал ZuRu, впервые всплыл на прошлой неделе в Китае. Вредонос раздавался с сайта-клона официального iTerm2.com, появлявшегося в топе поисковой выдачи Baidu на правах рекламы.

Анализ показал, что предложенный для скачивания образ диска содержит приложение с именем iTerm, подписанное сертификатом разработчика. Дополнительный знак безопасности, удостоверяющий принадлежность держателя к сообществу разработчиков Apple, при этом отсутствует. Тем не менее, при установке поддельный пакет с успехом проходит проверки Gatekeeper и способен ввести в заблуждение большинство коммерческих антивирусов (на настоящий момент его детектируют 15 сканеров из 57 на VirusTotal).

Обосновавшись в системе, зловред связывается со своим сервером и загружает с указанного адреса Python-скрипт, а также исполняемый файл с именем GoogleUpdate. Первый собирает и отправляет хозяину информацию о зараженной системе, а также пароли и учетки из хранилища Keychain.

Выявить назначение поддельного апдейтера пока не удалось. Установлено лишь, что при запуске он пытается подключиться к серверу, содержащему пиратскую копию Cobalt Strike — тулкита, популярного у специалистов по пентесту. Вполне возможно, что фейковый GoogleUpdate на самом деле является маячком из этого набора инструментов; его установка позволяет получить скрытый доступ к системе.

Фальшивый сертификат разработчика Apple уже отозвала. Двойник сайта iTerm2 в другой TLD-зоне заблокирован, Baidu удалил соответствующие привязки из своей выдачи. Однако злоумышленники спокойно могут откочевать в другие страны, создав другое вредоносное macOS-приложение, новый сайт и купив еще одну лицензию разработчика за $99.