Aanvallers hebben gesponsorde zoekresultaten gebruikt om een malafide versie van het programma ITerm2 voor macOS te verspreiden. Gebruikers van zoekmachine Baidu die op iTerm2 zochten kregen een gesponsord zoekresultaat te zien dat naar de officiële iTerm2-website leek te leiden. In plaats van het officiële .com-domein hadden de aanvallers echter een identiek .net-domein geregistreerd.

Op de nepwebsite werd een aangepaste en gesigneerde versie van iTerm2 aangeboden. Bij het starten van de applicatie werd ook een malafide library gestart die verbinding met een server maakte. Deze server liet de malware aanvullende malware installeren, die onder andere de keychain, bash history en hosts van het besmette systeem probeerde te stelen.

Na ontdekking van de malware heeft Apple het ontwikkelaarscertificaat waarmee de malafide iTerm2-versie werd gesigneerd ingetrokken. Verder verwijderde Baidu de gesponsorde zoekresultaten en is ook de malafide website offline.

Alles bij de bron; Security