Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė „Mac“ kenkėjiška programa „ZuRu Mac“ kenkėjiška programa

„ZuRu Mac“ kenkėjiška programa

Autorius Mezo, „Mac“ kenkėjiška programa
Versti į:

Kibernetinio saugumo tyrėjai atrado naujų įrodymų, siejančių liūdnai pagarsėjusią „macOS“ kenkėjišką programą „ZuRu“ su naujomis atakų kampanijomis. Žinoma dėl to, kad patenka į sistemas per Trojos arklius paverstą programinę įrangą, „ZuRu“ toliau tobulėja, naudodama atnaujintus metodus ir įrankius, kad įsilaužtų į nieko neįtariančius vartotojus.

Apsimeta patikimais įrankiais

2025 m. gegužės pabaigoje buvo pastebėta, kad „ZuRu“ apsimeta „Termius“ – kelių platformų SSH kliento ir serverio valdymo įrankiu. Tai naujausias kenkėjiškų kampanijų serijos žingsnis, kai „ZuRu“ apsimeta teisėtomis „macOS“ programomis, siekdama užkrėsti kūrėjų ir IT aplinkas. Nuo pirmojo žinomo pasirodymo 2021 m. rugsėjį, kai ji užgrobė „iTerm2“ paieškos rezultatus Kinijos klausimų ir atsakymų platformoje „Zhihu“, kenkėjiška programa nuolat taikosi į vartotojus, ieškančius nuotolinės prieigos ir duomenų bazių valdymo sprendimų.

Ši taktika labai remiasi remiamų paieškos rezultatų naudojimu, leisdama grėsmės kūrėjams oportunistiškai pasiekti asmenis, kurie jau ieško tokių įrankių. Toks metodas padidina sėkmingo užkrėtimo tikimybę, tuo pačiu išvengiant platesnio masto aptikimo.

Nuo piratinės programinės įrangos iki užterštų diskų atvaizdų

Iki 2024 m. sausio mėn. „ZuRu“ taip pat buvo pastebėta besislepianti piratinėse populiarios „macOS“ programinės įrangos versijose, tokiose kaip „Microsoft Remote Desktop“, „SecureCRT“ ir „Navicat“. Dabar tyrėjai ją susiejo su sugadintu .dmg disko atvaizdu, kuriame yra modifikuota „Termius.app“ kopija.

Šis pakeistas programų paketas pakeičia originalų kūrėjo kodo parašą specialiu parašu, kad būtų galima apeiti „macOS“ kodo pasirašymo apsaugą. Jame yra du pagrindiniai komponentai:

  • .localized: Kenkėjiška įkėlėja, kuri nuskaito ir paleidžia „Khepri C2“ švyturį iš download.termius.info.
  • .Termius Helper1: atnaujinta teisėtos „Termius Helper“ programėlės versija, naudojama kenkėjiškam elgesiui užmaskuoti.

Šie vykdomieji failai yra paslėpti „Termius Helper.app“ faile, o jų integracija yra pokytis, palyginti su senesniu „ZuRu“ metodu, kai .dylib failai buvo įterpiami tiesiai į programų paketus.

Išlikimo ir atnaujinimo mechanizmai

.localized įkėlėjas naudojamas ne tik naudingiesiems failams gauti, bet ir tikrina esamus diegimus, patikrindamas, ar kenkėjiška programa yra /tmp/.fseventsd faile. Jis palygina dabartinės naudingosios programos MD5 maišos kodą su nuotoliniu būdu talpinamos programos MD5 kodu ir, jei yra neatitikimų, atsisiunčia naują versiją. Ši savikontrolės ir atnaujinimo funkcija greičiausiai užtikrina kenkėjiško kodo vientisumą ir aktualumą.

Khepri pavertimas ginklu: Šveicarijos armijos peilis po išnaudojimo

Šios atakos pagrindas – modifikuota „Khepri“ versija – atvirojo kodo įrankių rinkinys, skirtas atakoms po išnaudojimo. Adaptuotas įrankis suteikia užpuolikams plačią pažeistų „macOS“ kompiuterių kontrolę, įskaitant:

  • Failų perkėlimas
  • Sistemos žvalgyba
  • Sistemos procesų vykdymas ir valdymas
  • Komandų vykdymas su išvesties gavimu realiuoju laiku

Ryšys palaikomas per C2 serverį ctl01.termius.fun, kuris leidžia nuolat kontroliuoti užkrėstus kompiuterius.

Puolimo technikų evoliucija

„ZuRu“ perėjimas nuo .dylib injekcijos prie įterptųjų pagalbinių programų, kurios užkrėstų trojanus, atrodo kaip sąmoningas pokytis, kuriuo siekiama apeiti pažangesnius aptikimo metodus. Nepaisant šio pokyčio, grėsmės kūrėjas ir toliau remiasi įprastais indikatoriais:

  • Domenų vardų ir failų vardų pakartotinis naudojimas
  • Nuoseklus nuotolinės prieigos ir duomenų bazių įrankių taikymas
  • Žinomi atkaklumo ir švyturių signalizavimo metodai

Šie rodikliai atspindi patikrintą veiksmų planą, kuris išlieka veiksmingas sistemose, kuriose trūksta patikimo galinių taškų saugumo.

Išvada: nuolatinė grėsmė macOS ekosistemai

Naujausias „ZuRu“ variantas sustiprina nerimą keliančią tendenciją: sudėtingas „macOS“ grėsmes, nukreiptas prieš kūrėjus ir IT specialistus. Pasinaudodama pasitikėjimu populiariais įrankiais ir pritaikydama pateikimo metodus, ši kenkėjiška programa ir toliau apeina apsaugą nepakankamai apsaugotoje aplinkoje.

Organizacijos ir asmenys turėtų išlikti budrūs, teikti pirmenybę patikrintų programinės įrangos šaltinių naudojimui ir įdiegti daugiasluoksnį saugumą, kad aptiktų ir neutralizuotų tokias grėsmes kaip „ZuRu“.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,697
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...