Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер за Mac Зловреден софтуер ZuRu за Mac

Зловреден софтуер ZuRu за Mac

До Mezo през Зловреден софтуер за Macг
Превод на:

Изследователи по киберсигурност откриха нови доказателства, свързващи прословутия зловреден софтуер за macOS ZuRu с нови атакуващи кампании. Известен с проникването си в системи чрез троянски софтуер, ZuRu продължава да се развива, използвайки актуализирани техники и инструменти, за да компрометира нищо неподозиращи потребители.

Маскиране като надеждни инструменти

В края на май 2025 г. ZuRu беше видян да се представя за Termius, междуплатформен инструмент за управление на SSH клиенти и сървъри. Това бележи последния ход в поредица от злонамерени кампании, при които ZuRu се представя за легитимни macOS приложения, за да зарази разработчици и ИТ среди. От първата си известна поява през септември 2021 г., когато отвлече резултатите от търсенето iTerm2 на китайската платформа за въпроси и отговори Zhihu, злонамереният софтуер постоянно е насочен към потребители, търсещи решения за отдалечен достъп и управление на бази данни.

Тактиката разчита до голяма степен на спонсорирани резултати от търсене, което позволява на злонамерените лица опортюнистично да достигнат до лица, които вече търсят подобни инструменти. Този подход увеличава вероятността за успешна инфекция, като същевременно избягва по-широко разкриване.

От пиратски софтуер до отровни дискови образи

До януари 2024 г. ZuRu беше забелязан да се крие и в пиратски версии на популярен софтуер за macOS, като например Remote Desktop на Microsoft, SecureCRT и Navicat. Сега изследователите го свързаха с повреден .dmg образ на диск, съдържащ подправено копие на Termius.app.

Този променен пакет от приложения замества оригиналния подпис на кода на разработчика с ad hoc подпис, за да заобиколи защитите за подписване на код на macOS. В него са вградени два ключови компонента:

  • .localized: Злонамерен зареждащ файл, който извлича и стартира Khepri C2 маяк от download.termius.info.
  • .Termius Helper1: Ребрендирана версия на легитимното приложение Termius Helper, използвана за маскиране на злонамерено поведение.

Тези изпълними файлове са скрити в Termius Helper.app и тяхната интеграция представлява промяна от по-стария метод на ZuRu за инжектиране на .dylib файлове директно в пакети с приложения.

Механизми за запазване и актуализиране

Зареждащият файл .localized не се използва само за извличане на полезни товари, но и проверява за съществуващи инсталации, като проверява дали зловредният софтуер е наличен в /tmp/.fseventsd. Той сравнява MD5 хеша на текущия полезен товар с този, хостван отдалечено, и изтегля нова версия, ако има несъответствие. Тази функция за самопроверка и актуализиране вероятно гарантира както целостта, така и актуалността на злонамерения код.

Въоръжаване на Хепри: Швейцарско армейско ножче след експлоатацията

В основата на тази атака е модифицирана версия на Khepri, инструментариум с отворен код за пост-експлоатационна обработка. Адаптираният инструмент предоставя на атакуващите широк контрол върху компрометирани macOS хостове, включително:

  • Прехвърляне на файлове
  • Системно разузнаване
  • Изпълнение и управление на системните процеси
  • Изпълнение на команди с извличане на изход в реално време

Комуникацията се поддържа чрез C2 сървъра ctl01.termius.fun, което позволява непрекъснат контрол над заразените машини.

Еволюция на техниките за атака

Преходът на ZuRu от инжектиране на .dylib към троянизиране на вградени помощни приложения изглежда е умишлена промяна, насочена към заобикаляне на по-модерните методи за откриване. Въпреки тази промяна, злонамереният актор продължава да разчита на познати индикатори:

  • Повторно използване на имена на домейни и имена на файлове
  • Последователно насочване към инструменти за отдалечен достъп и бази данни
  • Известни техники за постоянство и маяци

Тези индикатори отразяват доказан наръчник, който остава ефективен в системи, лишени от силна сигурност на крайните точки.

Заключение: Продължаваща заплаха за екосистемата на macOS

Най-новият вариант на ZuRu засилва една тревожна тенденция: сложни заплахи за macOS, насочени към разработчици и ИТ специалисти. Чрез използване на доверието в популярни инструменти и адаптиране на методите за доставка, този зловреден софтуер продължава да заобикаля защитите в недостатъчно защитени среди.

Организациите и отделните лица трябва да останат бдителни, да дадат приоритет на използването на проверени софтуерни източници и да внедрят многопластова сигурност за откриване и неутрализиране на заплахи като ZuRu.

Тенденция

Най-гледан

Зареждане...