Vairāku licenču atlaides piedāvājums
Draudu datu bāze Mac ļaunprātīga programmatūra ZuRu Mac ļaunprogrammatūra

ZuRu Mac ļaunprogrammatūra

Līdz Mezo. gadam Mac ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunus pierādījumus, kas saista bēdīgi slaveno macOS ļaunprogrammatūru ZuRu ar jaunām uzbrukumu kampaņām. ZuRu, kas ir pazīstama ar iefiltrēšanos sistēmās, izmantojot Trojas zirgu programmatūru, turpina attīstīties, izmantojot atjauninātas metodes un rīkus, lai kompromitētu neko nenojaušošus lietotājus.

Maskējas kā uzticami rīki

2025. gada maija beigās tika novērots, ka ZuRu uzdodas par Termius — starpplatformu SSH klienta un servera pārvaldības rīku. Šis ir jaunākais solis virknē ļaunprātīgu kampaņu, kurās ZuRu izliekas par likumīgām macOS lietojumprogrammām, lai inficētu izstrādātāju un IT vidi. Kopš pirmās zināmās parādīšanās 2021. gada septembrī, kad tā nolaupīja iTerm2 meklēšanas rezultātus Ķīnas jautājumu un atbilžu platformā Zhihu, ļaunprogrammatūra ir pastāvīgi mērķējusi uz lietotājiem, kas meklē attālās piekļuves un datubāzes pārvaldības risinājumus.

Šī taktika lielā mērā balstās uz sponsorētiem meklēšanas rezultātiem, ļaujot apdraudējumu radītājiem oportūnistiski sasniegt personas, kuras jau meklē šādus rīkus. Šī pieeja palielina veiksmīgas inficēšanas iespējamību, vienlaikus novēršot plašāku atklāšanu.

No pirātiskas programmatūras līdz saindētu disku attēliem

Līdz 2024. gada janvārim ZuRu bija pamanīts arī slēpjamies populāru macOS programmatūras pirātiskajās versijās, piemēram, Microsoft Remote Desktop, SecureCRT un Navicat. Tagad pētnieki to ir saistījuši ar bojātu .dmg diska attēlu, kurā ir viltota Termius.app kopija.

Šī mainītā lietojumprogrammu pakotne aizstāj sākotnējo izstrādātāja koda parakstu ar ad hoc parakstu, lai apietu macOS koda parakstīšanas aizsardzību. Tajā ir iestrādāti divi galvenie komponenti:

  • .localized: Ļaunprātīgs ielādētājs, kas ielādē un palaiž Khepri C2 bāku no download.termius.info.
  • .Termius Helper1: Pārdēvēta likumīgās Termius Helper lietotnes versija, ko izmanto, lai maskētu ļaunprātīgu rīcību.

Šie izpildfaili ir paslēpti Termius Helper.app failā, un to integrācija ir izmaiņas salīdzinājumā ar ZuRu vecāko metodi, kurā .dylib faili tika tieši ievadīti lietojumprogrammu pakotnēs.

Noturības un atjaunināšanas mehānismi

.localized ielādētājs netiek izmantots tikai vērtuma ielādei, bet arī pārbauda esošās instalācijas, pārbaudot, vai ļaunprogrammatūra atrodas failā /tmp/.fseventsd. Tas salīdzina pašreizējās vērtuma MD5 jaucējkodu ar attālināti mitināto un lejupielādējot jaunu versiju, ja ir neatbilstība. Šī pašpārbaudes un atjaunināšanas funkcija, visticamāk, nodrošina gan ļaunprātīgā koda integritāti, gan aktualitāti.

Khepri ieroču izmantošana: Šveices armijas nazis pēc ekspluatācijas

Šī uzbrukuma pamatā ir modificēta Khepri versija — atvērtā pirmkoda rīku komplekts pret ievainojamībām. Pielāgotais rīks piešķir uzbrucējiem plašu kontroli pār apdraudētiem macOS resursdatoriem, tostarp:

  • Failu pārsūtīšana
  • Sistēmas izpēte
  • Sistēmas procesu izpilde un pārvaldība
  • Komandu izpilde ar reāllaika izvades izgūšanu

Saziņa tiek uzturēta, izmantojot C2 serveri ctl01.termius.fun, kas nodrošina nepārtrauktu inficēto datoru kontroli.

Uzbrukuma tehniku evolūcija

ZuRu pāreja no .dylib injekcijas uz iegultām palīglietotnēm, kas izmanto Trojas zirgus, šķiet, ir apzināta pāreja, kuras mērķis ir apiet modernākas noteikšanas metodes. Neskatoties uz šīm izmaiņām, apdraudējuma izraisītājs turpina paļauties uz pazīstamiem indikatoriem:

  • Domēnu vārdu un failu nosaukumu atkārtota izmantošana
  • Attālās piekļuves un datubāzes rīku konsekventa mērķauditorijas atlasīšana
  • Zināmas noturības un bākugunēšanas metodes

Šie rādītāji atspoguļo pārbaudītu rīcības plānu, kas joprojām ir efektīvs sistēmās, kurām trūkst spēcīgas galapunktu drošības.

Secinājums: pastāvīgs drauds macOS ekosistēmai

Jaunākais ZuRu variants pastiprina satraucošu tendenci: sarežģītus macOS apdraudējumus, kas vērsti pret izstrādātājiem un IT speciālistiem. Izmantojot uzticēšanos populāriem rīkiem un pielāgojot piegādes metodes, šī ļaunprogrammatūra turpina apiet aizsardzību nepietiekami aizsargātā vidē.

Organizācijām un privātpersonām jāpaliek modrām, jāprioritizē pārbaudītu programmatūras avotu izmantošana un jāievieš slāņveida drošība, lai atklātu un neitralizētu tādus draudus kā ZuRu.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,697
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...