Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware ZuRu Mac-malware

ZuRu Mac-malware

Tegen Mezo in Mac-malware
Vertalen naar:

Cybersecurityonderzoekers hebben nieuw bewijs gevonden dat de beruchte macOS-malware ZuRu koppelt aan nieuwe aanvalscampagnes. ZuRu staat bekend om het infiltreren van systemen via trojan-software en blijft zich ontwikkelen door gebruik te maken van bijgewerkte technieken en tools om nietsvermoedende gebruikers te intimideren.

Vermomd als betrouwbare hulpmiddelen

Eind mei 2025 werd ZuRu gespot als Termius, een cross-platform SSH-client en serverbeheertool. Dit is de nieuwste stap in een reeks kwaadaardige campagnes waarbij ZuRu zich voordoet als legitieme macOS-applicaties om ontwikkelaars- en IT-omgevingen te infecteren. Sinds de eerste bekende verschijning in september 2021, toen de malware de zoekresultaten van iTerm2 op het Chinese vraag-en-antwoordplatform Zhihu kaapte, richt de malware zich consequent op gebruikers die op zoek zijn naar oplossingen voor externe toegang en databasebeheer.

Deze tactiek is sterk afhankelijk van gesponsorde zoekresultaten, waardoor cybercriminelen opportunistisch personen kunnen bereiken die al naar dergelijke tools zoeken. Deze aanpak vergroot de kans op een succesvolle infectie en voorkomt een bredere detectie.

Van illegale software tot vergiftigde schijfkopieën

In januari 2024 werd ZuRu ook al aangetroffen in illegale versies van populaire macOS-software zoals Microsoft's Remote Desktop, SecureCRT en Navicat. Nu hebben onderzoekers het gekoppeld aan een corrupte .dmg-schijfkopie met een gemanipuleerde kopie van Termius.app.

Deze aangepaste applicatiebundel vervangt de oorspronkelijke codehandtekening van de ontwikkelaar door een ad-hochandtekening om de codeondertekeningsbeveiliging van macOS te omzeilen. Hierin zijn twee belangrijke componenten ingebouwd:

  • .localized: Een schadelijke loader die een Khepri C2-baken ophaalt en start vanaf download.termius.info.
  • .Termius Helper1: Een vernieuwde versie van de legitieme Termius Helper-app, die wordt gebruikt om schadelijk gedrag te maskeren.

Deze uitvoerbare bestanden zijn verborgen in Termius Helper.app en hun integratie is een verandering ten opzichte van de oudere methode van ZuRu, waarbij .dylib-bestanden rechtstreeks in toepassingsbundels werden geïnjecteerd.

Persistentie- en updatemechanismen

De .localized loader wordt niet alleen gebruikt voor het ophalen van payloads, maar controleert ook op bestaande installaties door te controleren of de malware aanwezig is op /tmp/.fseventsd. De loader vergelijkt de MD5-hash van de huidige payload met de extern gehoste payload en downloadt een nieuwe versie als er een mismatch is. Deze automatische controle- en updatefunctie garandeert waarschijnlijk zowel de integriteit als de actualiteit van de schadelijke code.

Khepri als wapen: een Zwitsers zakmes na de exploitatie

De kern van deze aanval is een aangepaste versie van Khepri, een open-source toolkit voor post-exploitatie. Deze aangepaste tool geeft aanvallers brede controle over gecompromitteerde macOS-hosts, waaronder:

  • Bestandsoverdrachten
  • Systeemverkenning
  • Uitvoering en beheer van systeemprocessen
  • Opdrachtuitvoering met realtime-uitvoerophaling

De communicatie wordt onderhouden via de C2-server ctl01.termius.fun, waardoor er voortdurend controle is over de geïnfecteerde machines.

Evolutie van aanvalstechnieken

ZuRu's overstap van .dylib-injectie naar trojanisatie van ingebedde helper-apps lijkt een bewuste verschuiving te zijn, gericht op het omzeilen van geavanceerdere detectiemethoden. Ondanks deze verandering blijft de aanvaller vertrouwen op bekende indicatoren:

  • Hergebruik van domeinnamen en bestandsnamen
  • Consistente targeting van tools voor externe toegang en databases
  • Bekende persistentie- en beaconingtechnieken

Deze indicatoren weerspiegelen een beproefd draaiboek dat nog steeds effectief is in systemen zonder sterke eindpuntbeveiliging.

Conclusie: een voortdurende bedreiging voor het macOS-ecosysteem

De nieuwste ZuRu-variant versterkt een zorgwekkende trend: geavanceerde macOS-bedreigingen die zich richten op ontwikkelaars en IT-professionals. Door misbruik te maken van het vertrouwen in populaire tools en door aflevermethoden aan te passen, blijft deze malware de verdediging in onvoldoende beveiligde omgevingen omzeilen.

Organisaties en personen moeten waakzaam blijven, prioriteit geven aan het gebruik van geverifieerde softwarebronnen en gelaagde beveiliging implementeren om bedreigingen zoals ZuRu te detecteren en neutraliseren.

Trending

Meest bekeken

Bezig met laden...