image

Gesponsorde zoekresultaten verspreidden malafide versie iTerm2

vrijdag 17 september 2021, 09:09 door Redactie, 0 reacties

Aanvallers hebben gesponsorde zoekresultaten gebruikt om een malafide versie van het programma ITerm2 voor macOS te verspreiden. Gebruikers van zoekmachine Baidu die op iTerm2 zochten kregen een gesponsord zoekresultaat te zien dat naar de officiële iTerm2-website leek te zijn. In plaats van het officiële .com-domein hadden de aanvallers echter een identiek .net-domein geregistreerd.

ITerm2 is een vervanging voor de macOS-terminal en de opvolger van iTerm. Op de nepwebsite werd een aangepaste en gesigneerde versie van iTerm2 aangeboden. Bij het starten van de applicatie werd ook een malafide library gestart die verbinding met een server maakte. Deze server liet de malware aanvullende malware installeren, die onder andere de keychain, bash history en hosts van het besmette systeem probeerde te stelen.

Na ontdekking van de malware heeft Apple het ontwikkelaarscertificaat waarmee de malafide iTerm2-versie werd gesigneerd ingetrokken. Verder verwijderde Baidu de gesponsorde zoekresultaten en is ook de malafide website offline, zo meldt beveiligingsonderzoeker Patrick Wardle in een analyse.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.