Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mac Malware ZuRu Mac kártevő

ZuRu Mac kártevő

Mezo -ra Mac Malware-ben
Fordítás ide:

Kiberbiztonsági kutatók új bizonyítékokat tártak fel, amelyek a hírhedt macOS kártevőt, a ZuRu-t újabb támadási kampányokhoz kötik. A trójai szoftvereken keresztül a rendszerekbe beszivárgó ZuRu folyamatosan fejlődik, és naprakész technikákat és eszközöket használ a gyanútlan felhasználók feltörésére.

Megbízható eszközöknek álcázva magukat

2025 májusának végén a ZuRu a Termius, egy többplatformos SSH kliens és szerver kezelőeszközként megjelenő szoftverként jelent meg. Ez a legújabb lépése egy sor rosszindulatú kampánynak, amelyek során a ZuRu legitim macOS alkalmazásnak adja ki magát, hogy megfertőzze a fejlesztői és informatikai környezeteket. Amióta 2021 szeptemberében először megjelent, amikor eltérítette az iTerm2 keresési eredményeit a kínai Zhihu kérdések és válaszok platformon, a rosszindulatú program következetesen célba vette a távoli hozzáférést és adatbázis-kezelési megoldásokat kereső felhasználókat.

A taktika nagymértékben a szponzorált keresési eredményekre támaszkodik, lehetővé téve a kiberfenyegetők számára, hogy opportunista módon elérjék azokat az egyéneket, akik már amúgy is ilyen eszközöket keresnek. Ez a megközelítés növeli a sikeres fertőzés valószínűségét, miközben elkerüli a szélesebb körű felderítést.

A kalózszoftverektől a mérgezett lemezképekig

2024 januárjára a ZuRu-t már olyan népszerű macOS szoftverek kalózverzióiban is felfedezték, mint a Microsoft Remote Desktop, a SecureCRT és a Navicat. A kutatók most egy sérült .dmg lemezképhez kötötték, amely a Termius.app egy módosított példányát tartalmazta.

Ez a módosított alkalmazáscsomag az eredeti fejlesztői kódaláírást egy eseti aláírással helyettesíti, hogy megkerülje a macOS kódaláírási védelmeit. Két kulcsfontosságú összetevő található benne:

  • .localized: Egy rosszindulatú betöltő, amely lekéri és elindít egy Khepri C2 jeladót a download.termius.info oldalról.
  • .Termius Helper1: A legitim Termius Helper alkalmazás átnevezett verziója, amelyet a rosszindulatú viselkedés elfedésére használnak.

Ezek a futtatható fájlok a Termius Helper.app fájlban vannak elrejtve, és integrációjuk változást jelent a ZuRu régebbi módszeréhez képest, amely a .dylib fájlokat közvetlenül az alkalmazáscsomagokba injektálta.

Megmaradási és frissítési mechanizmusok

A .localized betöltő nemcsak a hasznos adatok lekérésére szolgál, hanem a meglévő telepítéseket is ellenőrzi a /tmp/.fseventsd fájlban található kártevő jelenlétének ellenőrzésével. Összehasonlítja az aktuális hasznos adat MD5 hash-ét a távoli szerveren tárolt adat MD5 hash-ével, és eltérés esetén új verziót tölt le. Ez az önellenőrző és frissítő funkció valószínűleg biztosítja a rosszindulatú kód integritását és naprakészségét.

Khepri fegyverként való használata: Egy kizsákmányolás utáni svájci bicska

A támadás középpontjában a Khepri, egy nyílt forráskódú, támadások utáni eszközkészlet módosított változata áll. Az átalakított eszköz széleskörű kontrollt biztosít a támadóknak a feltört macOS-hosztok felett, beleértve:

  • Fájlátvitel
  • Rendszerfelderítés
  • Rendszerfolyamatok végrehajtása és kezelése
  • Parancsvégrehajtás valós idejű kimeneti lekéréssel

A kommunikáció a ctl01.termius.fun C2 szerveren keresztül történik, amely folyamatos ellenőrzést tesz lehetővé a fertőzött gépek felett.

A támadási technikák fejlődése

A ZuRu átállása a .dylib injekcióról a beágyazott segítőalkalmazások trójai támadásaira egy szándékos elmozdulásnak tűnik, amelynek célja a fejlettebb észlelési módszerek megkerülése. E változás ellenére a fenyegetés szereplője továbbra is az ismerős indikátorokra támaszkodik:

  • Domainnevek és fájlnevek újrafelhasználása
  • A távoli hozzáférési és adatbázis-eszközök következetes célzása
  • Ismert kitartási és jelzőtechnikák

Ezek a mutatók egy bevált módszert tükröznek, amely a nem kellően erős végpontbiztonságú rendszerekben is hatékony marad.

Konklúzió: Folyamatos fenyegetés a macOS ökoszisztémára nézve

A legújabb ZuRu variáns megerősít egy aggasztó trendet: a kifinomult macOS fenyegetéseket, amelyek a fejlesztőket és az informatikai szakembereket célozzák meg. A népszerű eszközökbe vetett bizalom kihasználásával és a kézbesítési módszerek adaptálásával ez a rosszindulatú program továbbra is megkerüli a védelmet a nem megfelelően védett környezetekben.

A szervezeteknek és az egyéneknek továbbra is ébernek kell lenniük, előnyben kell részesíteniük az ellenőrzött szoftverforrások használatát, és többrétegű biztonságot kell bevezetniük a ZuRu-hoz hasonló fenyegetések észlelése és semlegesítése érdekében.

Felkapott

Legnézettebb

Betöltés...