Malware ZuRu pro Mac
Výzkumníci v oblasti kybernetické bezpečnosti odhalili nové důkazy spojující nechvalně známý malware ZuRu pro macOS s novými útočnými kampaněmi. ZuRu, známý pro infiltraci systémů prostřednictvím softwaru s trojskými koňmi, se neustále vyvíjí a využívá aktualizované techniky a nástroje k ohrožení nic netušících uživatelů.
Obsah
Maskování jako důvěryhodné nástroje
Koncem května 2025 byl malware ZuRu spatřen, jak se vydává za Termius, multiplatformní nástroj pro správu SSH klientů a serverů. Jedná se o nejnovější krok v sérii škodlivých kampaní, v nichž se ZuRu vydává za legitimní aplikace pro macOS s cílem infikovat vývojářská a IT prostředí. Od svého prvního známého objevení v září 2021, kdy unesl výsledky vyhledávání iTerm2 na čínské platformě pro otázky a odpovědi Zhihu, se malware neustále zaměřuje na uživatele hledající řešení pro vzdálený přístup a správu databází.
Tato taktika se silně spoléhá na sponzorované výsledky vyhledávání, což umožňuje útočníkům oportunisticky oslovit jednotlivce, kteří již takové nástroje hledají. Tento přístup zvyšuje pravděpodobnost úspěšné infekce a zároveň se vyhýbá širší detekci.
Od pirátského softwaru k otráveným obrazům disků
Do ledna 2024 byl ZuRu spatřen také v pirátských verzích populárního softwaru pro macOS, jako je Microsoft Remote Desktop, SecureCRT a Navicat. Nyní vědci spojili jeho přítomnost s poškozeným obrazem disku .dmg obsahujícím pozměněnou kopii souboru Termius.app.
Tento upravený balíček aplikací nahrazuje původní podpis kódu vývojáře podpisem ad hoc, aby se obešla ochrana podepisování kódu v systému macOS. Obsahuje dvě klíčové komponenty:
- .localized: Škodlivý zavaděč, který načítá a spouští maják Khepri C2 ze souboru download.termius.info.
- .Termius Helper1: Rebrandingová verze legitimní aplikace Termius Helper, používaná k maskování škodlivého chování.
Tyto spustitelné soubory jsou skryté uvnitř souboru Termius Helper.app a jejich integrace představuje změnu oproti starší metodě ZuRu, která vkládala soubory .dylib přímo do balíčků aplikací.
Mechanismy perzistence a aktualizace
Zavaděč .localized se nepoužívá pouze k načítání dat, ale také kontroluje existující instalace ověřováním, zda je malware přítomen v souboru /tmp/.fseventsd. Porovnává hash MD5 aktuálního datového obsahu s hashem hostovaným vzdáleně a v případě neshody stáhne novou verzi. Tato funkce samokontroly a aktualizace pravděpodobně zajišťuje integritu i aktuálnost škodlivého kódu.
Zbraňování Khepriho: Švýcarský armádní nůž po vykořisťování
Jádrem tohoto útoku je upravená verze Khepri, open-source sady nástrojů pro post-exploitační útoky. Upravený nástroj poskytuje útočníkům širokou kontrolu nad napadenými hostiteli macOS, včetně:
- Přenosy souborů
- Systémový průzkum
- Provádění a řízení systémových procesů
- Provádění příkazů s načítáním výstupu v reálném čase
Komunikace probíhá prostřednictvím serveru C2 ctl01.termius.fun, což umožňuje nepřetržitou kontrolu nad infikovanými počítači.
Vývoj útočných technik
Zdá se, že ZuRu se od injekcí .dylib k napadení vložených pomocných aplikací trojskými koňmi záměrně snaží obejít pokročilejší detekční metody. Navzdory této změně se útočník nadále spoléhá na známé indikátory:
- Opětovné použití doménových jmen a názvů souborů
- Konzistentní cílení nástrojů pro vzdálený přístup a databáze
- Známé techniky perzistence a beaconingu
Tyto indikátory odrážejí osvědčený postup, který zůstává účinný i v systémech, kde chybí silné zabezpečení koncových bodů.
Závěr: Trvalá hrozba pro ekosystém macOS
Nejnovější varianta ZuRu posiluje znepokojivý trend: sofistikované hrozby pro macOS zaměřené na vývojáře a IT profesionály. Zneužíváním důvěry v populární nástroje a úpravou metod doručování tento malware nadále obchází obranu v nedostatečně chráněných prostředích.
Organizace i jednotlivci by měli zůstat ostražití, upřednostňovat používání ověřených softwarových zdrojů a implementovat vrstvené zabezpečení k detekci a neutralizaci hrozeb, jako je ZuRu.
