Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Programari maliciós ZuRu per a Mac

Programari maliciós ZuRu per a Mac

El Mezo el Programari maliciós per a Mac
Traduir a:

Investigadors de ciberseguretat han descobert noves proves que vinculen el famós programari maliciós ZuRu de macOS amb noves campanyes d'atac. Conegut per infiltrar-se en sistemes a través de programari troià, ZuRu continua evolucionant, aprofitant tècniques i eines actualitzades per comprometre usuaris desprevinguts.

Disfressar-se d’eines fiables

A finals de maig de 2025, es va veure ZuRu fent-se passar per Termius, una eina de gestió de clients i servidors SSH multiplataforma. Això marca l'últim moviment d'una sèrie de campanyes malicioses on ZuRu es fa passar per aplicacions macOS legítimes per infectar entorns de desenvolupadors i informàtics. Des de la seva primera aparició coneguda el setembre de 2021, quan va segrestar els resultats de cerca d'iTerm2 a la plataforma xinesa de preguntes i respostes Zhihu, el programari maliciós ha atacat constantment els usuaris que busquen accés remot i solucions de gestió de bases de dades.

La tàctica es basa en gran mesura en resultats de cerca patrocinats, cosa que permet als actors de les amenaces arribar oportunament a individus que ja busquen aquestes eines. Aquest enfocament augmenta la probabilitat d'una infecció reeixida alhora que evita una detecció més àmplia.

Del programari pirata a les imatges de disc enverinades

El gener de 2024, ZuRu també havia estat detectat amagat en versions pirates de programari popular de macOS com ara Remote Desktop de Microsoft, SecureCRT i Navicat. Ara, els investigadors l'han vinculat a una imatge de disc .dmg corrupta que conté una còpia manipulada de Termius.app.

Aquest paquet d'aplicacions modificat substitueix la signatura de codi del desenvolupador original per una signatura ad hoc per evitar les proteccions de signatura de codi de macOS. Hi ha integrats dos components clau:

  • .localized: Un carregador maliciós que obté i inicia una balisa Khepri C2 des de download.termius.info.
  • .Termius Helper1: Una versió rebatejada de l'aplicació legítima Termius Helper, que s'utilitza per emmascarar el comportament maliciós.

Aquests executables estan ocults dins de Termius Helper.app, i la seva integració representa un canvi respecte al mètode anterior de ZuRu d'injectar fitxers .dylib directament als paquets d'aplicacions.

Mecanismes de persistència i actualització

El carregador .localized no només s'utilitza per obtenir càrregues útils, sinó que també comprova si hi ha instal·lacions existents verificant si el programari maliciós és present a /tmp/.fseventsd. Compara el hash MD5 de la càrrega útil actual amb la que s'allotja remotament i descarrega una nova versió si hi ha una discrepància. Aquesta funció d'autocomprovació i actualització probablement garanteix tant la integritat com l'actualitat del codi maliciós.

Convertir Khepri en arma: una navalla suïssa postexplotació

Al centre d'aquest atac hi ha una versió modificada de Khepri, un conjunt d'eines de codi obert per a la postexplotació. L'eina adaptada atorga als atacants un ampli control sobre els amfitrions macOS compromesos, incloent-hi:

  • Transferències de fitxers
  • Reconeixement del sistema
  • Execució i gestió dels processos del sistema
  • Execució d'ordres amb recuperació de sortida en temps real

La comunicació es manté a través del servidor C2 ctl01.termius.fun, cosa que permet un control continu sobre les màquines infectades.

Evolució de les tècniques d’atac

La progressió de ZuRu des de la injecció de .dylib fins a la troianització d'aplicacions auxiliars integrades sembla ser un canvi deliberat destinat a evitar mètodes de detecció més avançats. Malgrat aquest canvi, l'actor d'amenaces continua confiant en indicadors familiars:

  • Reutilització de noms de domini i noms de fitxer
  • Segmentació coherent de les eines d'accés remot i de bases de dades
  • Tècniques conegudes de persistència i beaconing

Aquests indicadors reflecteixen un manual de pràctiques provat, que continua sent eficaç en sistemes que no tenen una forta seguretat dels endpoints.

Conclusió: una amenaça contínua per a l’ecosistema macOS

L'última variant de ZuRu reforça una tendència preocupant: amenaces sofisticades de macOS dirigides a desenvolupadors i professionals de TI. En explotar la confiança en eines populars i adaptar els mètodes de lliurament, aquest programari maliciós continua eludint les defenses en entorns mal protegits.

Les organitzacions i els individus han de mantenir-se alerta, prioritzar l'ús de fonts de programari verificades i implementar seguretat per capes per detectar i neutralitzar amenaces com ZuRu.

Tendència

Més vist

Carregant...