Rabatttilbud for flere lisenser
Trusseldatabase Mac Malware ZuRu Mac-skadevare

ZuRu Mac-skadevare

Med Mezo i Mac Malware
Oversett til:

Forskere på nettsikkerhet har avdekket nye bevis som knytter den beryktede macOS-skadevaren ZuRu til nye angrepskampanjer. ZuRu er kjent for å infiltrere systemer gjennom trojansk programvare, og fortsetter å utvikle seg, og utnytter oppdaterte teknikker og verktøy for å kompromittere intetanende brukere.

Maskert som pålitelige verktøy

Sent i mai 2025 ble ZuRu observert mens hun utga seg for å være Termius, et plattformuavhengig SSH-klient- og serveradministrasjonsverktøy. Dette markerer det siste trekket i en rekke ondsinnede kampanjer der ZuRu utgir seg for å være legitime macOS-applikasjoner for å infisere utvikler- og IT-miljøer. Siden den første kjente opptredenen i september 2021, da den kapret iTerm2-søkeresultater på den kinesiske spørsmål og svar-plattformen Zhihu, har skadevaren konsekvent rettet seg mot brukere som søker fjerntilgang og databaseadministrasjonsløsninger.

Taktikken er i stor grad avhengig av sponsede søkeresultater, slik at trusselaktørene opportunistisk kan nå personer som allerede søker etter slike verktøy. Denne tilnærmingen øker sannsynligheten for en vellykket infeksjon samtidig som den unngår bredere deteksjon.

Fra piratkopiert programvare til forgiftede diskbilder

I januar 2024 hadde ZuRu også blitt oppdaget gjemt i piratkopierte versjoner av populær macOS-programvare som Microsofts Remote Desktop, SecureCRT og Navicat. Nå har forskere koblet den til et ødelagt .dmg-diskbilde som inneholder en manipulert kopi av Termius.app.

Denne endrede programpakken erstatter den opprinnelige utviklerens kodesignatur med en ad hoc-signatur for å omgå macOS-kodesigneringsbeskyttelse. To nøkkelkomponenter er innebygd i den:

  • .localized: En ondsinnet laster som henter og starter en Khepri C2-beacon fra download.termius.info.
  • .Termius Helper1: En omdøpt versjon av den legitime Termius Helper-appen, brukt til å maskere den ondsinnede oppførselen.

Disse kjørbare filene er skjult i Termius Helper.app, og integreringen av dem representerer en endring fra ZuRus eldre metode for å injisere .dylib-filer direkte i applikasjonspakker.

Mekanismer for persistens og oppdatering

.localized-lasteren brukes ikke bare til å hente nyttelaster, den sjekker også eksisterende installasjoner ved å bekrefte om skadelig programvare finnes på /tmp/.fseventsd. Den sammenligner MD5-hashen til den nåværende nyttelasten med den som ligger eksternt, og laster ned en ny versjon hvis det er et avvik. Denne selvsjekken og oppdateringsfunksjonen sikrer sannsynligvis både integriteten og aktualiteten til den skadelige koden.

Våpengjøring av Khepri: En sveitsisk lommekniv etter utnyttelse

Kjernen i dette angrepet er en modifisert versjon av Khepri, et åpen kildekode-verktøysett for etterutnyttelse. Det tilpassede verktøyet gir angripere bred kontroll over kompromitterte macOS-verter, inkludert:

  • Filoverføringer
  • Systemrekognosering
  • Utførelse og styring av systemprosesser
  • Kommandoutførelse med sanntids henting av utdata

Kommunikasjonen opprettholdes via C2-serveren ctl01.termius.fun, noe som muliggjør kontinuerlig kontroll over de infiserte maskinene.

Utviklingen av angrepsteknikker

ZuRus utvikling fra .dylib-injeksjon til trojanisering av innebygde hjelpeapper ser ut til å være et bevisst skifte som tar sikte på å omgå mer avanserte deteksjonsmetoder. Til tross for denne endringen fortsetter trusselaktøren å stole på kjente indikatorer:

  • Gjenbruk av domenenavn og filnavn
  • Konsekvent målretting av verktøy for fjerntilgang og databaser
  • Kjente utholdenhets- og beaconing-teknikker

Disse indikatorene gjenspeiler en velprøvd strategi som fortsatt er effektiv i systemer som mangler sterk endepunktsikkerhet.

Konklusjon: En vedvarende trussel mot macOS-økosystemet

Den nyeste ZuRu-varianten forsterker en bekymringsverdig trend: sofistikerte macOS-trusler retter seg mot utviklere og IT-fagfolk. Ved å utnytte tilliten til populære verktøy og tilpasse leveringsmetoder, fortsetter denne skadelige programvaren å omgå forsvar i utilstrekkelig beskyttede miljøer.

Organisasjoner og enkeltpersoner bør forbli årvåkne, prioritere bruken av verifiserte programvarekilder og implementere lagdelt sikkerhet for å oppdage og nøytralisere trusler som ZuRu.

Trender

Mest sett

Laster inn...