Rabattilbud med flere licenser
Trusseldatabase Mac Malware ZuRu Mac-malware

ZuRu Mac-malware

Med Mezo i Mac Malware
Oversæt til:

Cybersikkerhedsforskere har afdækket nye beviser, der forbinder den berygtede macOS-malware ZuRu med nye angrebskampagner. ZuRu, der er kendt for at infiltrere systemer via trojansk software, fortsætter med at udvikle sig og udnytter opdaterede teknikker og værktøjer til at kompromittere intetanende brugere.

Maskeret som pålidelige værktøjer

I slutningen af maj 2025 blev ZuRu set udgive sig for at være Termius, et SSH-klient- og serveradministrationsværktøj på tværs af platforme. Dette markerer det seneste træk i en række ondsindede kampagner, hvor ZuRu udgiver sig for at være legitime macOS-applikationer for at inficere udvikler- og IT-miljøer. Siden sin første kendte optræden i september 2021, hvor den kaprede iTerm2-søgeresultater på den kinesiske Q&A-platform Zhihu, har malwaren konsekvent målrettet brugere, der søger fjernadgang og databaseadministrationsløsninger.

Taktikken er i høj grad afhængig af sponsorerede søgeresultater, hvilket giver trusselsaktørerne mulighed for opportunistisk at nå ud til personer, der allerede søger efter sådanne værktøjer. Denne tilgang øger sandsynligheden for en vellykket infektion, samtidig med at den undgår bredere detektion.

Fra piratkopieret software til forgiftede diskbilleder

I januar 2024 var ZuRu også blevet set gemt i piratkopierede versioner af populær macOS-software såsom Microsofts Remote Desktop, SecureCRT og Navicat. Nu har forskere forbundet det med et beskadiget .dmg-diskbillede, der indeholder en manipuleret kopi af Termius.app.

Denne ændrede programpakke erstatter den oprindelige udviklers kodesignatur med en ad hoc-signatur for at omgå macOS-kodesigneringsbeskyttelse. Der er indlejret to nøglekomponenter:

  • .localized: En ondsindet loader, der henter og starter en Khepri C2-beacon fra download.termius.info.
  • .Termius Helper1: En rebrandet version af den legitime Termius Helper-app, der bruges til at maskere den ondsindede adfærd.

Disse eksekverbare filer er skjult inde i Termius Helper.app, og deres integration repræsenterer en ændring fra ZuRus ældre metode til at injicere .dylib-filer direkte i applikationspakker.

Persistens- og opdateringsmekanismer

.localized-loaderen bruges ikke kun til at hente nyttelast, den tjekker også eksisterende installationer ved at verificere, om malwaren er til stede på /tmp/.fseventsd. Den sammenligner MD5-hashen for den aktuelle nyttelast med den, der hostes eksternt, og downloader en ny version, hvis der er en uoverensstemmelse. Denne selvkontrol- og opdateringsfunktion sikrer sandsynligvis både integriteten og aktualiteten af den skadelige kode.

Bevæbning af Khepri: En schweizerkniv efter udnyttelse

Kernen i dette angreb er en modificeret version af Khepri, et open source-værktøjssæt til efterudnyttelse. Det tilpassede værktøj giver angribere bred kontrol over kompromitterede macOS-værter, herunder:

  • Filoverførsler
  • Systemrekognoscering
  • Udførelse og styring af systemprocesser
  • Kommandoudførelse med hentning af output i realtid

Kommunikationen opretholdes via C2-serveren ctl01.termius.fun, hvilket muliggør kontinuerlig kontrol over de inficerede maskiner.

Udviklingen af angrebsteknikker

ZuRus udvikling fra .dylib-injektion til trojanisering af indlejrede hjælpeapps ser ud til at være et bevidst skift, der sigter mod at omgå mere avancerede detektionsmetoder. Trods denne ændring fortsætter trusselsaktøren med at stole på velkendte indikatorer:

  • Genbrug af domænenavne og filnavne
  • Konsekvent målretning af fjernadgang og databaseværktøjer
  • Kendte persistens- og beaconing-teknikker

Disse indikatorer afspejler en dokumenteret strategi, der forbliver effektiv i systemer, der mangler stærk endpoint-sikkerhed.

Konklusion: En vedvarende trussel mod macOS-økosystemet

Den seneste ZuRu-variant forstærker en bekymrende tendens: sofistikerede macOS-trusler rettet mod udviklere og IT-professionelle. Ved at udnytte tilliden til populære værktøjer og tilpasse leveringsmetoder fortsætter denne malware med at omgå forsvar i utilstrækkeligt beskyttede miljøer.

Organisationer og enkeltpersoner bør forblive årvågne, prioritere brugen af verificerede softwarekilder og implementere lagdelt sikkerhed for at opdage og neutralisere trusler som ZuRu.

Trending

Mest sete

Indlæser...