【热点事件】警惕MacOS平台上伪造iterm2页面的钓鱼攻击

引言

近日，知乎网友发现MacOS平台上伪造iterm2页面的钓鱼攻击，攻击者在伪造的软件下载页面分发恶意软件，目前，该搜索引擎已下架钓鱼页面并阻断推广。

监控

该网友在2021年9月8日下午1点左右在搜索iterm2这个关键字时，百度推广了一个标有保障的广告链接，域名为rjxz.jxhwst[.]top 。

该网友毫不犹豫的点击进入了该网站后，发现此网站竟是高度仿真iterm2官方的钓鱼网站，其下载页面将提供带木马病毒和信息收集的iterm2的程序。

钓鱼网站rjxz.jxhwst[.]top

用户点击Downloads时将跳转到第二个钓鱼网站 http://iterm2[.]net，在该页面点击Download将连接恶意域名www.kaidingle[.]com/iTerm/iTerm.dmg下载恶意的iterm2程序。

在首次运行恶意的iterm2程序将会连接http://47.75.123[.]111/g.py下载执行python脚本，该脚本会收集用户信息上传到一个阿里云相关服务器，ip为47.75.122[.]251。。代码如下：

结语

目前，百度搜索引擎已下架钓鱼页面并阻断推广。