【热点事件】警惕MacOS平台上伪造iterm2页面的钓鱼攻击

安恒情报中心 2021-09-16 02:47:51 3678人浏览

引言

近日,知乎网友发现MacOS平台上伪造iterm2页面的钓鱼攻击,攻击者在伪造的软件下载页面分发恶意软件,目前,该搜索引擎已下架钓鱼页面并阻断推广。

 

监控

该网友在2021年9月8日下午1点左右在搜索iterm2这个关键字时,百度推广了一个标有保障的广告链接,域名为rjxz.jxhwst[.]top 。

 

该网友毫不犹豫的点击进入了该网站后,发现此网站竟是高度仿真iterm2官方的钓鱼网站,其下载页面将提供带木马病毒和信息收集的iterm2的程序。

钓鱼网站rjxz.jxhwst[.]top

 

用户点击Downloads时将跳转到第二个钓鱼网站 http://iterm2[.]net,在该页面点击Download将连接恶意域名www.kaidingle[.]com/iTerm/iTerm.dmg下载恶意的iterm2程序。

 

在首次运行恶意的iterm2程序将会连接http://47.75.123[.]111/g.py下载执行python脚本,该脚本会收集用户信息上传到一个阿里云相关服务器,ip为47.75.122[.]251。。代码如下:

preview

 

结语

目前,百度搜索引擎已下架钓鱼页面并阻断推广。

失陷指标(IOC)39
钓鱼攻击 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。