Ponuda s popustom na više licenci
Baza prijetnji Zlonamjerni softver za Mac Zlonamjerni softver ZuRu za Mac

Zlonamjerni softver ZuRu za Mac

Do Mezo. Zlonamjerni softver za Mac. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su nove dokaze koji povezuju ozloglašeni zlonamjerni softver za macOS ZuRu s novim napadnim kampanjama. Poznat po infiltraciji u sustave putem trojanskog softvera, ZuRu se nastavlja razvijati, koristeći ažurirane tehnike i alate za kompromitiranje nesuđenih korisnika.

Maskiranje kao pouzdani alati

Krajem svibnja 2025., ZuRu je viđen kako se lažno predstavlja kao Termius, višeplatformski alat za upravljanje SSH klijentima i poslužiteljima. Ovo označava najnoviji potez u nizu zlonamjernih kampanja u kojima se ZuRu predstavlja kao legitimne macOS aplikacije kako bi zarazio razvojna i IT okruženja. Od svog prvog poznatog pojavljivanja u rujnu 2021., kada je oteo rezultate pretraživanja iTerm2 na kineskoj platformi za pitanja i odgovore Zhihu, zlonamjerni softver je dosljedno ciljao korisnike koji traže rješenja za udaljeni pristup i upravljanje bazama podataka.

Taktika se uvelike oslanja na sponzorirane rezultate pretraživanja, omogućujući prijetnjama da oportunistički dopru do pojedinaca koji već traže takve alate. Ovaj pristup povećava vjerojatnost uspješne zaraze, a istovremeno izbjegava šire otkrivanje.

Od piratskog softvera do zaraženih slika diskova

Do siječnja 2024. ZuRu je također uočen kako se skriva u piratskim verzijama popularnog macOS softvera kao što su Microsoftov Remote Desktop, SecureCRT i Navicat. Istraživači su ga sada povezali s oštećenom .dmg slikom diska koja sadrži izmijenjenu kopiju Termius.app.

Ovaj izmijenjeni paket aplikacije zamjenjuje originalni potpis koda programera ad hoc potpisom kako bi zaobišao zaštitu potpisivanja koda u macOS-u. U njega su ugrađene dvije ključne komponente:

  • .localized: Zlonamjerni program za učitavanje koji dohvaća i pokreće Khepri C2 beacon s download.termius.info.
  • .Termius Helper1: Rebrendirana verzija legitimne aplikacije Termius Helper, koja se koristi za maskiranje zlonamjernog ponašanja.

Ove izvršne datoteke skrivene su unutar Termius Helper.app datoteke, a njihova integracija predstavlja promjenu u odnosu na ZuRu-ovu stariju metodu ubrizgavanja .dylib datoteka izravno u pakete aplikacija.

Mehanizmi postojanosti i ažuriranja

.localized loader ne koristi se samo za dohvaćanje sadržaja, već i provjerava postojeće instalacije provjeravajući je li zlonamjerni softver prisutan u /tmp/.fseventsd. Uspoređuje MD5 hash trenutnog sadržaja s onim koji se nalazi na daljinu, preuzimajući novu verziju ako postoji neusklađenost. Ova funkcija samoprovjere i ažuriranja vjerojatno osigurava i integritet i ažurnost zlonamjernog koda.

Naoružanje Kheprija: Švicarski nož nakon eksploatacije

U središtu ovog napada je modificirana verzija Kheprija, alata otvorenog koda za post-eksploataciju. Prilagođeni alat napadačima daje široku kontrolu nad kompromitiranim macOS hostovima, uključujući:

  • Prijenos datoteka
  • Izviđanje sustava
  • Izvršavanje i upravljanje sistemskim procesima
  • Izvršavanje naredbi s preuzimanjem rezultata u stvarnom vremenu

Komunikacija se održava putem C2 servera ctl01.termius.fun, što omogućuje kontinuiranu kontrolu nad zaraženim računalima.

Evolucija tehnika napada

Čini se da je ZuRuov napredak od .dylib injekcije do trojanskih ugrađenih pomoćnih aplikacija namjerna promjena usmjerena na zaobilaženje naprednijih metoda detekcije. Unatoč ovoj promjeni, napadač se i dalje oslanja na poznate pokazatelje:

  • Ponovna upotreba naziva domena i naziva datoteka
  • Dosljedno ciljanje alata za udaljeni pristup i baze podataka
  • Poznate tehnike perzistencije i beaconinga

Ovi pokazatelji odražavaju provjereni priručnik, onaj koji ostaje učinkovit u sustavima koji nemaju snažnu sigurnost krajnjih točaka.

Zaključak: Stalna prijetnja macOS ekosustavu

Najnovija varijanta ZuRu-a pojačava zabrinjavajući trend: sofisticirane macOS prijetnje usmjerene na razvojne programere i IT stručnjake. Iskorištavanjem povjerenja u popularne alate i prilagođavanjem metoda isporuke, ovaj zlonamjerni softver nastavlja zaobilaziti obranu u nedovoljno zaštićenim okruženjima.

Organizacije i pojedinci trebaju ostati oprezni, dati prioritet korištenju provjerenih izvora softvera i implementirati slojevitu sigurnost kako bi otkrili i neutralizirali prijetnje poput ZuRu-a.

U trendu

Nagledanije

Učitavam...