Si bien la mayoría de los ciberdelincuentes continúan atacando enérgicamente las máquinas con Windows, hay grupos más atrevidos que se dirigen a objetivos más exóticos, como los sistemas macOS. ZuRu es uno de los últimos programas maliciosos identificados dirigidos exclusivamente a Mac. Sus creadores parecen confiar en la lista de resultados de búsqueda patrocinados para intentar redirigir a los usuarios a una página maliciosa. Los delincuentes en realidad están falsificando el nombre de una herramienta macOS legítima llamada iTerm2.
Actualmente, los delincuentes parecen apuntar solo al motor de búsqueda chino Baidu. Sin embargo, no sería una sorpresa si intentaran expandir su operación en un futuro cercano. Una vez que un usuario intenta descargar iTerm desde el sitio web falso, se le remitirá a un servicio de alojamiento de terceros, que obtendrá el archivo iTerm.dmg. Hasta ahora, todo parece normal en la pantalla del usuario; la única bandera roja es el nombre de dominio ligeramente diferente. Sin embargo, la mayoría de la gente no se daría cuenta de esto.
Si se engaña a un usuario para que ejecute el caballo de Troya, ZuRu descarga y ejecuta un script de Python que recopila información diversa de una Mac infectada, que incluye:
▸Base de datos de llaveros macOS del usuario
▸Historial de comandos de terminal de usuario bash y zsh
▸El estado almacenado de iTerm2 del usuario
▸ Claves ssh de usuario y hosts conocidos
▸Archivos del sistema, hosts y etc
Claramente, los ciberdelincuentes están experimentando con todo tipo de trucos desagradables para llegar a sus víctimas. La campaña de ZuRu, en particular, es muy intrigante de esta manera. La mejor manera de mantener su sistema y sus datos seguros es utilizar un software antivirus y tener mucho cuidado al navegar por Internet.
