ZuRu Mac Malware
साइबर सुरक्षा शोधकर्ताओं ने कुख्यात macOS मैलवेयर ZuRu को नए हमले अभियानों से जोड़ने वाले नए सबूत खोज निकाले हैं। ट्रोजन-आधारित सॉफ़्टवेयर के ज़रिए सिस्टम में घुसपैठ करने के लिए जाना जाने वाला, ZuRu लगातार विकसित हो रहा है, और बेख़बर उपयोगकर्ताओं को खतरे में डालने के लिए नवीनतम तकनीकों और उपकरणों का लाभ उठा रहा है।
विषयसूची
भरोसेमंद उपकरण का मुखौटा पहनना
मई 2025 के अंत में, ZuRu को एक क्रॉस-प्लेटफ़ॉर्म SSH क्लाइंट और सर्वर प्रबंधन टूल, Termius का रूप धारण करते हुए देखा गया। यह दुर्भावनापूर्ण अभियानों की श्रृंखला में नवीनतम कदम है, जहाँ ZuRu डेवलपर और IT परिवेशों को संक्रमित करने के लिए वैध macOS एप्लिकेशन के रूप में प्रस्तुत होता है। सितंबर 2021 में अपनी पहली ज्ञात उपस्थिति के बाद से, जब इसने चीनी Q&A प्लेटफ़ॉर्म Zhihu पर iTerm2 खोज परिणामों को हाईजैक कर लिया था, इस मैलवेयर ने लगातार रिमोट एक्सेस और डेटाबेस प्रबंधन समाधान चाहने वाले उपयोगकर्ताओं को निशाना बनाया है।
यह रणनीति प्रायोजित खोज परिणामों पर काफ़ी हद तक निर्भर करती है, जिससे ख़तरा पैदा करने वाले लोग अवसरवादी तरीके से उन लोगों तक पहुँच सकते हैं जो पहले से ही ऐसे टूल खोज रहे हैं। यह तरीका व्यापक पहचान से बचते हुए सफल संक्रमण की संभावना को बढ़ाता है।
पायरेटेड सॉफ्टवेयर से लेकर जहरीली डिस्क इमेज तक
जनवरी 2024 तक, ZuRu को माइक्रोसॉफ्ट के रिमोट डेस्कटॉप, सिक्योरसीआरटी और नेविकैट जैसे लोकप्रिय macOS सॉफ़्टवेयर के पायरेटेड संस्करणों में भी छिपा हुआ पाया गया था। अब, शोधकर्ताओं ने इसे एक दूषित .dmg डिस्क इमेज से जोड़ा है जिसमें Termius.app की एक छेड़छाड़ की गई कॉपी है।
यह संशोधित एप्लिकेशन बंडल मूल डेवलपर के कोड हस्ताक्षर को एक एड-हॉक हस्ताक्षर से बदल देता है ताकि macOS कोड हस्ताक्षर सुरक्षा को दरकिनार किया जा सके। इसमें दो प्रमुख घटक अंतर्निहित हैं:
- .localized: एक दुर्भावनापूर्ण लोडर जो download.termius.info से Khepri C2 बीकन प्राप्त करता है और लॉन्च करता है।
- .Termius Helper1: वैध Termius Helper ऐप का पुनःब्रांडेड संस्करण, जिसका उपयोग दुर्भावनापूर्ण व्यवहार को छिपाने के लिए किया जाता है।
ये निष्पादनयोग्य फ़ाइलें Termius Helper.app के अंदर छिपी हुई हैं, और उनका एकीकरण ZuRu की .dylib फ़ाइलों को सीधे अनुप्रयोग बंडलों में इंजेक्ट करने की पुरानी विधि में बदलाव का प्रतिनिधित्व करता है।
दृढ़ता और अद्यतन तंत्र
.localized लोडर का इस्तेमाल सिर्फ़ पेलोड लाने के लिए ही नहीं होता, बल्कि यह /tmp/.fseventsd पर मैलवेयर मौजूद है या नहीं, इसकी पुष्टि करके मौजूदा इंस्टॉलेशन की भी जाँच करता है। यह मौजूदा पेलोड के MD5 हैश की तुलना रिमोटली होस्ट किए गए पेलोड से करता है, और अगर कोई बेमेल मिलता है तो नया वर्ज़न डाउनलोड करता है। यह सेल्फ-चेक और अपडेट फ़ंक्शन दुर्भावनापूर्ण कोड की अखंडता और वैधता दोनों को सुनिश्चित करता है।
खेपरी को हथियार बनाना: शोषण के बाद का स्विस आर्मी चाकू
इस हमले के मूल में खेप्री का एक संशोधित संस्करण है, जो एक ओपन-सोर्स पोस्ट-एक्सप्लॉइटेशन टूलकिट है। यह अनुकूलित टूल हमलावरों को प्रभावित macOS होस्ट्स पर व्यापक नियंत्रण प्रदान करता है, जिसमें शामिल हैं:
- फ़ाइल स्थानांतरण
- सिस्टम टोही
- सिस्टम प्रक्रियाओं का निष्पादन और प्रबंधन
- वास्तविक समय आउटपुट पुनर्प्राप्ति के साथ कमांड निष्पादन
संचार C2 सर्वर ctl01.termius.fun के माध्यम से बनाए रखा जाता है, जिससे संक्रमित मशीनों पर निरंतर नियंत्रण संभव होता है।
आक्रमण तकनीकों का विकास
.dylib इंजेक्शन से लेकर एम्बेडेड हेल्पर ऐप्स को ट्रोजनाइज़ करने तक, ZuRu का यह कदम एक जानबूझकर किया गया बदलाव प्रतीत होता है जिसका उद्देश्य अधिक उन्नत पहचान विधियों को दरकिनार करना है। इस बदलाव के बावजूद, ख़तरा पैदा करने वाला कारक परिचित संकेतकों पर ही निर्भर रहता है:
- डोमेन नामों और फ़ाइल नामों का पुन: उपयोग
- दूरस्थ पहुँच और डेटाबेस उपकरणों का लगातार लक्ष्यीकरण
- ज्ञात दृढ़ता और बीकनिंग तकनीकें
ये संकेतक एक सिद्ध रणनीति को दर्शाते हैं, जो मजबूत एंडपॉइंट सुरक्षा की कमी वाली प्रणालियों में भी प्रभावी रहती है।
निष्कर्ष: macOS पारिस्थितिकी तंत्र के लिए एक सतत खतरा
ज़ूरू का नवीनतम संस्करण एक चिंताजनक प्रवृत्ति को पुष्ट करता है: डेवलपर्स और आईटी पेशेवरों को निशाना बनाने वाले परिष्कृत macOS खतरे। लोकप्रिय टूल्स में विश्वास का फायदा उठाकर और डिलीवरी के तरीकों को अपनाकर, यह मैलवेयर अपर्याप्त रूप से सुरक्षित वातावरण में सुरक्षा उपायों को दरकिनार करता रहता है।
संगठनों और व्यक्तियों को सतर्क रहना चाहिए, सत्यापित सॉफ्टवेयर स्रोतों के उपयोग को प्राथमिकता देनी चाहिए, तथा ज़ुरू जैसे खतरों का पता लगाने और उन्हें बेअसर करने के लिए स्तरित सुरक्षा लागू करनी चाहिए।
