ZuRu म्याक मालवेयर
साइबर सुरक्षा अनुसन्धानकर्ताहरूले कुख्यात macOS मालवेयर ZuRu लाई नयाँ आक्रमण अभियानहरूसँग जोड्ने नयाँ प्रमाणहरू पत्ता लगाएका छन्। ट्रोजनाइज्ड सफ्टवेयर मार्फत प्रणालीहरूमा घुसपैठ गर्नका लागि परिचित, ZuRu ले निरन्तर विकास गरिरहेको छ, अनिश्चित प्रयोगकर्ताहरूलाई सम्झौता गर्न अद्यावधिक प्रविधिहरू र उपकरणहरूको लाभ उठाउँदै।
सामग्रीको तालिका
भरपर्दो उपकरणको रूपमा लुकाउने
मे २०२५ को अन्त्यतिर, ZuRu ले Termius को नक्कल गरेको देखियो, जुन एक क्रस-प्लेटफर्म SSH क्लाइन्ट र सर्भर व्यवस्थापन उपकरण हो। यो दुर्भावनापूर्ण अभियानहरूको श्रृंखलामा पछिल्लो चाल हो जहाँ ZuRu ले विकासकर्ता र IT वातावरणलाई संक्रमित गर्न वैध macOS अनुप्रयोगहरूको रूपमा प्रस्तुत गर्दछ। सेप्टेम्बर २०२१ मा यसको पहिलो ज्ञात उपस्थिति पछि, जब यसले चिनियाँ प्रश्नोत्तर प्लेटफर्म Zhihu मा iTerm2 खोज परिणामहरू अपहरण गर्यो, मालवेयरले टाढाको पहुँच र डाटाबेस व्यवस्थापन समाधानहरू खोज्ने प्रयोगकर्ताहरूलाई निरन्तर लक्षित गरेको छ।
यो रणनीति प्रायोजित खोज परिणामहरूमा धेरै निर्भर गर्दछ, जसले गर्दा खतराका कारकहरूले अवसरवादी रूपमा पहिले नै त्यस्ता उपकरणहरू खोजिरहेका व्यक्तिहरूसम्म पुग्न सक्छन्। यो दृष्टिकोणले व्यापक पहिचानलाई बेवास्ता गर्दै सफल संक्रमणको सम्भावना बढाउँछ।
पाइरेटेड सफ्टवेयरदेखि विषाक्त डिस्क छविहरूसम्म
जनवरी २०२४ सम्ममा, ZuRu लाई माइक्रोसफ्टको रिमोट डेस्कटप, SecureCRT, र Navicat जस्ता लोकप्रिय macOS सफ्टवेयरको पाइरेटेड संस्करणहरूमा लुकेको पनि देखिएको थियो। अब, अनुसन्धानकर्ताहरूले यसलाई Termius.app को छेडछाड गरिएको प्रतिलिपि भएको भ्रष्ट .dmg डिस्क छविसँग जोडेका छन्।
यो परिवर्तित एप्लिकेसन बन्डलले macOS कोड साइनिङ सुरक्षाहरूलाई बाइपास गर्न मूल विकासकर्ताको कोड हस्ताक्षरलाई तदर्थ हस्ताक्षरले प्रतिस्थापन गर्दछ। यस भित्र दुई प्रमुख घटकहरू सम्मिलित छन्:
- .localized: एउटा दुर्भावनापूर्ण लोडर जसले download.termius.info बाट Khepri C2 बीकन ल्याउँछ र लन्च गर्छ।
- .Termius Helper1: वैध Termius Helper एपको पुन: ब्रान्ड गरिएको संस्करण, जुन दुर्भावनापूर्ण व्यवहारलाई लुकाउन प्रयोग गरिन्छ।
यी एक्जिक्युटेबलहरू Termius Helper.app भित्र लुकेका छन्, र तिनीहरूको एकीकरणले ZuRu को .dylib फाइलहरू सिधै एप्लिकेसन बन्डलहरूमा इन्जेक्ट गर्ने पुरानो विधिबाट परिवर्तनलाई प्रतिनिधित्व गर्दछ।
दृढता र अद्यावधिक संयन्त्रहरू
.localized लोडर केवल पेलोडहरू प्राप्त गर्न प्रयोग गरिँदैन, यसले /tmp/.fseventsd मा मालवेयर उपस्थित छ कि छैन भनेर प्रमाणित गरेर अवस्थित स्थापनाहरूको लागि पनि जाँच गर्दछ। यसले हालको पेलोडको MD5 ह्यासलाई टाढाबाट होस्ट गरिएकोसँग तुलना गर्दछ, यदि कुनै बेमेल छ भने नयाँ संस्करण डाउनलोड गर्दछ। यो स्व-जाँच र अद्यावधिक प्रकार्यले सम्भवतः मालिसियस कोडको अखण्डता र मुद्रा दुवै सुनिश्चित गर्दछ।
खेप्रीलाई हतियार बनाउने: शोषणपछिको स्विस सेनाको चक्कु
यस आक्रमणको मूलमा खेप्रीको परिमार्जित संस्करण हो, जुन एक खुला-स्रोत पोस्ट-एक्सप्लोइटेसन टूलकिट हो। अनुकूलित उपकरणले आक्रमणकारीहरूलाई सम्झौता गरिएका macOS होस्टहरूमा व्यापक नियन्त्रण प्रदान गर्दछ, जसमा समावेश छन्:
- फाइल स्थानान्तरण
- प्रणालीको खोजी
- प्रणाली प्रक्रियाहरूको कार्यान्वयन र व्यवस्थापन
- वास्तविक-समय आउटपुट पुन: प्राप्तिको साथ आदेश कार्यान्वयन
संक्रमित मेसिनहरूमा निरन्तर नियन्त्रण सक्षम पार्दै, C2 सर्भर ctl01.termius.fun मार्फत सञ्चार कायम राखिएको छ।
आक्रमण प्रविधिको विकास
.dylib इन्जेक्सनबाट एम्बेडेड हेल्पर एपहरूलाई ट्रोजनाइज गर्ने ZuRu को प्रगति थप उन्नत पत्ता लगाउने विधिहरूलाई बाइपास गर्ने उद्देश्यले गरिएको जानाजानी परिवर्तन जस्तो देखिन्छ। यो परिवर्तनको बावजुद, खतरा अभिनेता परिचित संकेतकहरूमा भर पर्न जारी छ:
- डोमेन नाम र फाइल नामहरूको पुन: प्रयोग
- रिमोट एक्सेस र डाटाबेस उपकरणहरूको निरन्तर लक्षितीकरण
- ज्ञात दृढता र प्रकाश प्रविधिहरू
यी सूचकहरूले एक प्रमाणित प्लेबुक प्रतिबिम्बित गर्छन्, जुन बलियो अन्त्यबिन्दु सुरक्षाको अभाव भएका प्रणालीहरूमा प्रभावकारी रहन्छ।
निष्कर्ष: macOS इकोसिस्टमको लागि निरन्तर खतरा
पछिल्लो ZuRu भेरियन्टले चिन्ताजनक प्रवृत्तिलाई बलियो बनाउँछ: विकासकर्ताहरू र IT पेशेवरहरूलाई लक्षित गर्ने परिष्कृत macOS धम्कीहरू। लोकप्रिय उपकरणहरूमा विश्वासको शोषण गरेर र डेलिभरी विधिहरू अनुकूलन गरेर, यो मालवेयरले अपर्याप्त रूपमा सुरक्षित वातावरणमा प्रतिरक्षाहरूलाई बाइपास गर्न जारी राख्छ।
संस्था र व्यक्तिहरूले सतर्क रहनुपर्छ, प्रमाणित सफ्टवेयर स्रोतहरूको प्रयोगलाई प्राथमिकता दिनुपर्छ, र ZuRu जस्ता खतराहरू पत्ता लगाउन र निष्क्रिय पार्न स्तरित सुरक्षा लागू गर्नुपर्छ।
