Preventivo sconto multi-licenza
Database delle minacce Malware per Mac Malware ZuRu per Mac

Malware ZuRu per Mac

Entro Mezo nel Malware per Mac
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto nuove prove che collegano il famigerato malware per macOS ZuRu a nuove campagne di attacco. Noto per la sua capacità di infiltrarsi nei sistemi tramite software trojanizzati, ZuRu continua a evolversi, sfruttando tecniche e strumenti aggiornati per compromettere utenti ignari.

Mascherati da strumenti affidabili

Alla fine di maggio 2025, ZuRu è stato visto impersonare Termius, uno strumento di gestione client e server SSH multipiattaforma. Questa è solo l'ultima mossa di una serie di campagne dannose in cui ZuRu si spaccia per applicazioni macOS legittime per infettare sviluppatori e ambienti IT. Dalla sua prima apparizione nota nel settembre 2021, quando ha dirottato i risultati di ricerca di iTerm2 sulla piattaforma cinese di domande e risposte Zhihu, il malware ha costantemente preso di mira gli utenti alla ricerca di soluzioni di accesso remoto e gestione di database.

La tattica si basa in gran parte sui risultati di ricerca sponsorizzati, consentendo agli autori della minaccia di raggiungere opportunisticamente individui già alla ricerca di tali strumenti. Questo approccio aumenta la probabilità di successo dell'infezione, evitando al contempo un rilevamento più ampio.

Dal software pirata alle immagini disco avvelenate

Entro gennaio 2024, ZuRu era stato individuato anche in versioni pirata di popolari software macOS come Remote Desktop, SecureCRT e Navicat di Microsoft. Ora, i ricercatori lo hanno collegato a un'immagine disco .dmg corrotta contenente una copia manomessa di Termius.app.

Questo pacchetto applicativo modificato sostituisce la firma del codice originale dello sviluppatore con una firma ad hoc per aggirare le protezioni di firma del codice di macOS. Incorpora due componenti chiave:

  • .localized: un caricatore dannoso che recupera e lancia un beacon Khepri C2 da download.termius.info.
  • .Termius Helper1: una versione rinominata dell'app legittima Termius Helper, utilizzata per mascherare il comportamento dannoso.

Questi eseguibili sono nascosti all'interno di Termius Helper.app e la loro integrazione rappresenta un cambiamento rispetto al vecchio metodo di ZuRu di iniettare i file .dylib direttamente nei bundle dell'applicazione.

Meccanismi di persistenza e aggiornamento

Il loader .localized non viene utilizzato solo per il recupero dei payload, ma verifica anche la presenza di installazioni esistenti verificando se il malware è presente in /tmp/.fseventsd. Confronta l'hash MD5 del payload corrente con quello ospitato in remoto, scaricando una nuova versione in caso di mancata corrispondenza. Questa funzione di autocontrollo e aggiornamento garantisce probabilmente sia l'integrità che l'attualità del codice dannoso.

Trasformare Khepri in un’arma: un coltellino svizzero post-sfruttamento

Al centro di questo attacco c'è una versione modificata di Khepri, un toolkit open source per il post-exploitation. Lo strumento adattato garantisce agli aggressori un ampio controllo sugli host macOS compromessi, tra cui:

  • Trasferimenti di file
  • Ricognizione del sistema
  • Esecuzione e gestione dei processi di sistema
  • Esecuzione del comando con recupero dell'output in tempo reale

La comunicazione viene mantenuta tramite il server C2 ctl01.termius.fun, consentendo un controllo continuo sulle macchine infette.

Evoluzione delle tecniche di attacco

Il passaggio di ZuRu dall'iniezione di .dylib alla trojanizzazione di app helper integrate sembra essere un cambiamento deliberato, volto a bypassare metodi di rilevamento più avanzati. Nonostante questo cambiamento, l'autore della minaccia continua a fare affidamento su indicatori familiari:

  • Riutilizzo dei nomi di dominio e dei nomi di file
  • Targeting coerente degli strumenti di accesso remoto e di database
  • Tecniche note di persistenza e segnalazione

Questi indicatori riflettono una strategia collaudata, che rimane efficace anche nei sistemi privi di una solida sicurezza degli endpoint.

Conclusione: una minaccia continua per l’ecosistema macOS

L'ultima variante di ZuRu rafforza una tendenza preoccupante: minacce sofisticate per macOS che prendono di mira sviluppatori e professionisti IT. Sfruttando la fiducia negli strumenti più diffusi e adattando i metodi di distribuzione, questo malware continua a eludere le difese in ambienti non adeguatamente protetti.

Le organizzazioni e i singoli individui devono rimanere vigili, dare priorità all'uso di fonti software verificate e implementare una sicurezza a più livelli per rilevare e neutralizzare minacce come ZuRu.

Tendenza

I più visti

Caricamento in corso...