Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Mac Κακόβουλο λογισμικό ZuRu για Mac

Κακόβουλο λογισμικό ZuRu για Mac

Μέχρι το Mezo το Κακόβουλο λογισμικό Mac
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν νέα στοιχεία που συνδέουν το διαβόητο κακόβουλο λογισμικό macOS ZuRu με νέες εκστρατείες επιθέσεων. Γνωστό για την διείσδυση σε συστήματα μέσω λογισμικού που έχει υποστεί Trojan, το ZuRu συνεχίζει να εξελίσσεται, αξιοποιώντας ενημερωμένες τεχνικές και εργαλεία για να παραβιάσει ανυποψίαστους χρήστες.

Μεταμφιεσμένοι σε Αξιόπιστα Εργαλεία

Στα τέλη Μαΐου 2025, το ZuRu εθεάθη να μιμείται το Termius, ένα εργαλείο διαχείρισης SSH client και server για πολλαπλές πλατφόρμες. Αυτό σηματοδοτεί την τελευταία κίνηση σε μια σειρά κακόβουλων καμπανιών όπου το ZuRu παρουσιάζεται ως νόμιμες εφαρμογές macOS για να μολύνει περιβάλλοντα προγραμματιστών και IT. Από την πρώτη γνωστή εμφάνισή του τον Σεπτέμβριο του 2021, όταν κατέλαβε τα αποτελέσματα αναζήτησης iTerm2 στην κινεζική πλατφόρμα ερωτήσεων και απαντήσεων Zhihu, το κακόβουλο λογισμικό στοχεύει συνεχώς χρήστες που αναζητούν λύσεις απομακρυσμένης πρόσβασης και διαχείρισης βάσεων δεδομένων.

Η τακτική βασίζεται σε μεγάλο βαθμό σε χορηγούμενα αποτελέσματα αναζήτησης, επιτρέποντας στους απειλητικούς παράγοντες να προσεγγίσουν ευκαιριακά άτομα που ήδη αναζητούν τέτοια εργαλεία. Αυτή η προσέγγιση αυξάνει την πιθανότητα επιτυχούς μόλυνσης, αποφεύγοντας παράλληλα την ευρύτερη ανίχνευση.

Από πειρατικό λογισμικό σε δηλητηριασμένες εικόνες δίσκου

Μέχρι τον Ιανουάριο του 2024, το ZuRu είχε επίσης εντοπιστεί να κρύβεται σε πειρατικές εκδόσεις δημοφιλούς λογισμικού macOS, όπως το Remote Desktop της Microsoft, το SecureCRT και το Navicat. Τώρα, οι ερευνητές το έχουν συνδέσει με μια κατεστραμμένη εικόνα δίσκου .dmg που περιέχει ένα παραποιημένο αντίγραφο του Termius.app.

Αυτό το τροποποιημένο πακέτο εφαρμογών αντικαθιστά την αρχική υπογραφή κώδικα του προγραμματιστή με μια ad hoc υπογραφή για να παρακάμψει τις προστασίες υπογραφής κώδικα macOS. Ενσωματωμένα σε αυτό υπάρχουν δύο βασικά στοιχεία:

  • .localized: Ένα κακόβουλο πρόγραμμα φόρτωσης που ανακτά και εκκινεί ένα beacon Khepri C2 από το download.termius.info.
  • .Termius Helper1: Μια ανανεωμένη έκδοση της νόμιμης εφαρμογής Termius Helper, που χρησιμοποιείται για την κάλυψη της κακόβουλης συμπεριφοράς.

Αυτά τα εκτελέσιμα αρχεία είναι κρυμμένα μέσα στο Termius Helper.app και η ενσωμάτωσή τους αντιπροσωπεύει μια αλλαγή από την παλαιότερη μέθοδο του ZuRu για την έγχυση αρχείων .dylib απευθείας σε πακέτα εφαρμογών.

Μηχανισμοί Διατήρησης και Ενημέρωσης

Το πρόγραμμα φόρτωσης .localized δεν χρησιμοποιείται μόνο για την ανάκτηση ωφέλιμων φορτίων, αλλά ελέγχει επίσης για υπάρχουσες εγκαταστάσεις επαληθεύοντας εάν το κακόβουλο λογισμικό υπάρχει στο /tmp/.fseventsd. Συγκρίνει το hash MD5 του τρέχοντος ωφέλιμου φορτίου με αυτό που φιλοξενείται απομακρυσμένα, κατεβάζοντας μια νέα έκδοση εάν υπάρχει αναντιστοιχία. Αυτή η λειτουργία αυτοελέγχου και ενημέρωσης πιθανότατα διασφαλίζει τόσο την ακεραιότητα όσο και την εγκυρότητα του κακόβουλου κώδικα.

Οπλοφορία του Khepri: Ένα ελβετικό σουγιά μετά την εκμετάλλευση

Στον πυρήνα αυτής της επίθεσης βρίσκεται μια τροποποιημένη έκδοση του Khepri, ενός κιτ εργαλείων ανοιχτού κώδικα για την αντιμετώπιση της εκμετάλλευσης. Το προσαρμοσμένο εργαλείο παρέχει στους επιτιθέμενους ευρύ έλεγχο σε παραβιασμένους κεντρικούς υπολογιστές macOS, όπως:

  • Μεταφορές αρχείων
  • Αναγνώριση συστήματος
  • Εκτέλεση και διαχείριση διαδικασιών συστήματος
  • Εκτέλεση εντολών με ανάκτηση εξόδου σε πραγματικό χρόνο

Η επικοινωνία διατηρείται μέσω του διακομιστή C2 ctl01.termius.fun, επιτρέποντας τον συνεχή έλεγχο των μολυσμένων μηχανημάτων.

Εξέλιξη Τεχνικών Επίθεσης

Η εξέλιξη του ZuRu από την έγχυση .dylib στην προσβολή από trojan ενσωματωμένες βοηθητικές εφαρμογές φαίνεται να είναι μια σκόπιμη μετατόπιση που αποσκοπεί στην παράκαμψη πιο προηγμένων μεθόδων ανίχνευσης. Παρά την αλλαγή αυτή, ο απειλητικός παράγοντας συνεχίζει να βασίζεται σε γνωστούς δείκτες:

  • Επαναχρησιμοποίηση ονομάτων τομέα και ονομάτων αρχείων
  • Συνεπής στόχευση εργαλείων απομακρυσμένης πρόσβασης και βάσεων δεδομένων
  • Γνωστές τεχνικές persistence και beaconing

Αυτοί οι δείκτες αντικατοπτρίζουν ένα αποδεδειγμένο εγχειρίδιο στρατηγικής, το οποίο παραμένει αποτελεσματικό σε συστήματα που δεν διαθέτουν ισχυρή ασφάλεια τελικών σημείων.

Συμπέρασμα: Μια συνεχής απειλή για το οικοσύστημα macOS

Η τελευταία παραλλαγή του ZuRu ενισχύει μια ανησυχητική τάση: εξελιγμένες απειλές macOS που στοχεύουν προγραμματιστές και επαγγελματίες πληροφορικής. Εκμεταλλευόμενο την εμπιστοσύνη σε δημοφιλή εργαλεία και προσαρμόζοντας τις μεθόδους παράδοσης, αυτό το κακόβουλο λογισμικό συνεχίζει να παρακάμπτει τις άμυνες σε ανεπαρκώς προστατευμένα περιβάλλοντα.

Οι οργανισμοί και τα άτομα θα πρέπει να παραμένουν σε εγρήγορση, να δίνουν προτεραιότητα στη χρήση επαληθευμένων πηγών λογισμικού και να εφαρμόζουν πολυεπίπεδη ασφάλεια για την ανίχνευση και την εξουδετέρωση απειλών όπως το ZuRu.

Τάσεις

Απάτη με κρυπτογράφηση κερμάτων Trump Coin Airdrop

Απατεώνες Ιστότοποι
Σε μια εποχή όπου τα ψηφιακά νομίσματα αναδιαμορφώνουν τον χρηματοοικονομικό τομέα, ο αριθμός των διαδικτυακών απατήσεων που εκμεταλλεύονται αυτόν τον χώρο έχει αυξηθεί δραματικά. Η ανωνυμία, η...

Απάτη με την τοποθέτηση παραγγελίας

Κακόβουλο λογισμικό, Phishing, Ανεπιθύμητη αλληλογραφία
Στην ψηφιακή εποχή, το email παραμένει ένα από τα πιο συνηθισμένα εργαλεία επικοινωνίας και ένα από τα πιο κακοποιημένα. Μεταξύ των αμέτρητων κακόβουλων καμπανιών email που κυκλοφορούν στο...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,697
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...