Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca ZuRu Mac Malware

ZuRu Mac Malware

Do Mezo w Malware na Maca
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli nowe dowody łączące osławione złośliwe oprogramowanie dla systemu macOS o nazwie ZuRu z nowymi kampaniami ataków. Znany z infiltracji systemów za pomocą trojanów, ZuRu stale się rozwija, wykorzystując udoskonalone techniki i narzędzia do atakowania niczego niepodejrzewających użytkowników.

Podszywanie się pod wiarygodne narzędzia

Pod koniec maja 2025 roku ZuRu został zauważony podszywając się pod Termiusa, wieloplatformowe narzędzie do zarządzania klientem i serwerem SSH. To najnowszy ruch z serii złośliwych kampanii, w których ZuRu podszywa się pod legalne aplikacje macOS, aby infekować środowiska programistyczne i IT. Od czasu swojego pierwszego znanego pojawienia się we wrześniu 2021 roku, kiedy to przejął wyniki wyszukiwania iTerm2 na chińskiej platformie pytań i odpowiedzi Zhihu, złośliwe oprogramowanie konsekwentnie atakowało użytkowników poszukujących rozwiązań do zdalnego dostępu i zarządzania bazami danych.

Taktyka ta w dużej mierze opiera się na sponsorowanych wynikach wyszukiwania, umożliwiając atakującym okazjonalne dotarcie do osób, które już szukają takich narzędzi. Takie podejście zwiększa prawdopodobieństwo skutecznej infekcji, jednocześnie unikając szerszego wykrycia.

Od pirackiego oprogramowania do zatrutych obrazów dysków

Do stycznia 2024 roku ZuRu został również zauważony w pirackich wersjach popularnego oprogramowania macOS, takiego jak Microsoft Remote Desktop, SecureCRT i Navicat. Teraz badacze powiązali go z uszkodzonym obrazem dysku .dmg zawierającym zmodyfikowaną kopię aplikacji Termius.app.

Ten zmodyfikowany pakiet aplikacji zastępuje oryginalny podpis kodu dewelopera podpisem ad hoc, aby ominąć zabezpieczenia podpisywania kodu w systemie macOS. Zawiera on dwa kluczowe komponenty:

  • .localized: Złośliwy moduł ładujący, który pobiera i uruchamia sygnał Khepri C2 z download.termius.info.
  • .Termius Helper1: Zmieniona wersja legalnej aplikacji Termius Helper, służąca do maskowania złośliwego zachowania.

Te pliki wykonywalne są ukryte w Termius Helper.app, a ich integracja stanowi odejście od starszej metody ZuRu polegającej na wstrzykiwaniu plików .dylib bezpośrednio do pakietów aplikacji.

Mechanizmy trwałości i aktualizacji

Program ładujący .localized nie służy tylko do pobierania ładunków, ale także sprawdza istniejące instalacje, weryfikując obecność złośliwego oprogramowania w katalogu /tmp/.fseventsd. Porównuje skrót MD5 bieżącego ładunku z tym hostowanym zdalnie, pobierając nową wersję w przypadku niezgodności. Ta funkcja autotestu i aktualizacji prawdopodobnie gwarantuje zarówno integralność, jak i aktualność złośliwego kodu.

Uzbrojenie Khepri: szwajcarski scyzoryk po eksploatacji

U podstaw tego ataku leży zmodyfikowana wersja Khepri, zestawu narzędzi open source do ochrony poeksploatacyjnej. To zmodyfikowane narzędzie zapewnia atakującym szeroką kontrolę nad zainfekowanymi hostami macOS, w tym:

  • Transfery plików
  • Rozpoznanie systemu
  • Realizacja i zarządzanie procesami systemowymi
  • Wykonywanie poleceń z pobieraniem wyników w czasie rzeczywistym

Komunikacja odbywa się za pośrednictwem serwera C2 ctl01.termius.fun, co umożliwia ciągłą kontrolę nad zainfekowanymi maszynami.

Ewolucja technik ataku

Przejście ZuRu od wstrzykiwania .dylib do trojanizowania wbudowanych aplikacji pomocniczych wydaje się być celową zmianą mającą na celu ominięcie bardziej zaawansowanych metod wykrywania. Pomimo tej zmiany, atakujący nadal opiera się na znanych wskaźnikach:

  • Ponowne wykorzystanie nazw domen i nazw plików
  • Spójne ukierunkowanie narzędzi zdalnego dostępu i baz danych
  • Znane techniki trwałości i sygnalizacji

Wskaźniki te odzwierciedlają sprawdzony podręcznik, który pozostaje skuteczny w systemach pozbawionych solidnych zabezpieczeń punktów końcowych.

Wnioski: Ciągłe zagrożenie dla ekosystemu macOS

Najnowszy wariant ZuRu wzmacnia niepokojący trend: wyrafinowane zagrożenia dla systemu macOS, których celem są programiści i specjaliści IT. Wykorzystując zaufanie do popularnych narzędzi i dostosowując metody ich dystrybucji, to złośliwe oprogramowanie wciąż omija zabezpieczenia w niedostatecznie zabezpieczonych środowiskach.

Organizacje i osoby prywatne powinny zachować czujność, priorytetowo traktować korzystanie ze sprawdzonych źródeł oprogramowania i wdrażać wielowarstwowe środki bezpieczeństwa w celu wykrywania i neutralizowania zagrożeń, takich jak ZuRu.

Popularne

Najczęściej oglądane

Ładowanie...