Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Mac Malware Perisian Hasad ZuRu Mac

Perisian Hasad ZuRu Mac

Menjelang Mezo pada Mac Malware
Terjemahkan ke

Penyelidik keselamatan siber telah menemui bukti baharu yang mengaitkan perisian hasad macOS terkenal ZuRu kepada kempen serangan baharu. Dikenali dengan sistem penyusupan melalui perisian Trojanized, ZuRu terus berkembang, memanfaatkan teknik dan alatan yang dikemas kini untuk menjejaskan pengguna yang tidak curiga.

Menyamar sebagai Alat yang Boleh Dipercayai

Pada penghujung Mei 2025, ZuRu dilihat menyamar sebagai Termius, klien SSH merentas platform dan alat pengurusan pelayan. Ini menandakan langkah terbaharu dalam siri kempen berniat jahat di mana ZuRu menyamar sebagai aplikasi macOS yang sah untuk menjangkiti pembangun dan persekitaran IT. Sejak penampilan pertamanya diketahui pada September 2021, apabila ia merampas hasil carian iTerm2 pada platform Soal Jawab Cina Zhihu, perisian hasad telah menyasarkan pengguna secara konsisten yang mencari akses jauh dan penyelesaian pengurusan pangkalan data.

Taktik ini sangat bergantung pada hasil carian yang ditaja, yang membolehkan pelaku ancaman menjangkau individu yang sudah mencari alat tersebut secara oportunis. Pendekatan ini meningkatkan kemungkinan jangkitan yang berjaya sambil mengelakkan pengesanan yang lebih luas.

Daripada Perisian Cetak Rompak kepada Imej Cakera Beracun

Menjelang Januari 2024, ZuRu juga telah dikesan bersembunyi dalam versi cetak rompak perisian macOS popular seperti Desktop Jauh Microsoft, SecureCRT dan Navicat. Kini, penyelidik telah memautkannya kepada imej cakera .dmg yang rosak yang mengandungi salinan Termius.app yang diusik.

Himpunan aplikasi yang diubah ini menggantikan tandatangan kod pembangun asal dengan tandatangan ad hoc untuk memintas perlindungan tandatangan kod macOS. Terbenam di dalamnya adalah dua komponen utama:

  • .localized: Pemuat berniat jahat yang mengambil dan melancarkan suar Khepri C2 daripada download.termius.info.
  • .Termius Helper1: Versi penjenamaan semula apl Termius Helper yang sah, digunakan untuk menutup tingkah laku berniat jahat.

Boleh laku ini tersembunyi di dalam Termius Helper.app, dan penyepaduan mereka mewakili perubahan daripada kaedah lama ZuRu untuk menyuntik fail .dylib terus ke dalam berkas aplikasi.

Kegigihan dan Mekanisme Kemas Kini

Pemuat .localized bukan sahaja digunakan untuk mengambil muatan, ia juga menyemak pemasangan sedia ada dengan mengesahkan sama ada perisian hasad hadir di /tmp/.fseventsd. Ia membandingkan cincangan MD5 muatan semasa dengan yang dihoskan dari jauh, memuat turun versi baharu jika terdapat ketidakpadanan. Fungsi semakan dan kemas kini sendiri ini mungkin memastikan integriti dan mata wang kod berniat jahat.

Senjata Khepri: Pisau Tentera Swiss Selepas Eksploitasi

Inti serangan ini ialah versi Khepri yang diubah suai, kit alat pasca eksploitasi sumber terbuka. Alat yang disesuaikan memberikan penyerang kawalan luas ke atas hos macOS yang terjejas, termasuk:

  • Pemindahan fail
  • Peninjauan sistem
  • Pelaksanaan dan pengurusan proses sistem
  • Pelaksanaan arahan dengan perolehan keluaran masa nyata

Komunikasi dikekalkan melalui pelayan C2 ctl01.termius.fun, membolehkan kawalan berterusan ke atas mesin yang dijangkiti.

Evolusi Teknik Serangan

Perkembangan ZuRu daripada suntikan .dylib kepada trojan apl pembantu terbenam nampaknya merupakan peralihan yang disengajakan bertujuan untuk memintas kaedah pengesanan yang lebih maju. Walaupun perubahan ini, pelakon ancaman terus bergantung pada penunjuk biasa:

  • Penggunaan semula nama domain dan nama fail
  • Penyasaran yang konsisten untuk akses jauh dan alatan pangkalan data
  • Teknik ketekunan dan petanda yang diketahui

Penunjuk ini mencerminkan buku permainan yang terbukti, yang kekal berkesan dalam sistem yang tidak mempunyai keselamatan titik akhir yang kukuh.

Kesimpulan: Ancaman Berterusan untuk Ekosistem macOS

Varian ZuRu terkini mengukuhkan trend yang membimbangkan: ancaman macOS canggih yang menyasarkan pembangun dan profesional IT. Dengan mengeksploitasi kepercayaan terhadap alatan popular dan menyesuaikan kaedah penghantaran, perisian hasad ini terus memintas pertahanan dalam persekitaran yang tidak dilindungi dengan secukupnya.

Organisasi dan individu harus terus berwaspada, mengutamakan penggunaan sumber perisian yang disahkan, dan melaksanakan keselamatan berlapis untuk mengesan dan meneutralkan ancaman seperti ZuRu.

Trending

Paling banyak dilihat

Memuatkan...