Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac Malware ZuRu para Mac

Malware ZuRu para Mac

Por Mezo em Malware para Mac
Traduzir Para:

Pesquisadores de segurança cibernética descobriram novas evidências que ligam o notório malware para macOS ZuRu a novas campanhas de ataque. Conhecido por se infiltrar em sistemas por meio de software trojanizado, o ZuRu continua a evoluir, utilizando técnicas e ferramentas atualizadas para comprometer usuários desavisados.

Disfarçados de ferramentas confiáveis

No final de maio de 2025, o ZuRu foi visto se passando por Termius, uma ferramenta de gerenciamento de cliente e servidor SSH multiplataforma. Isso marca a mais recente ação em uma série de campanhas maliciosas em que o ZuRu se passa por aplicativos macOS legítimos para infectar ambientes de desenvolvedores e TI. Desde sua primeira aparição conhecida em setembro de 2021, quando sequestrou os resultados de pesquisa do iTerm2 na plataforma chinesa de perguntas e respostas Zhihu, o malware tem visado consistentemente usuários que buscam soluções de acesso remoto e gerenciamento de banco de dados.

A tática depende fortemente de resultados de busca patrocinados, permitindo que os agentes da ameaça alcancem, de forma oportunista, indivíduos que já estejam procurando por essas ferramentas. Essa abordagem aumenta a probabilidade de uma infecção bem-sucedida, evitando uma detecção mais ampla.

De software pirateado a imagens de disco envenenadas

Em janeiro de 2024, o ZuRu também foi detectado escondido em versões piratas de softwares populares para macOS, como o Remote Desktop, o SecureCRT e o Navicat da Microsoft. Agora, pesquisadores o associaram a uma imagem de disco .dmg corrompida contendo uma cópia adulterada do Termius.app.

Este pacote de aplicativo alterado substitui a assinatura de código do desenvolvedor original por uma assinatura ad hoc para contornar as proteções de assinatura de código do macOS. Incorporados a ele, há dois componentes principais:

  • .localized: Um carregador malicioso que busca e inicia um beacon Khepri C2 de download.termius.info.
  • .Termius Helper1: Uma versão renomeada do aplicativo legítimo Termius Helper, usada para mascarar o comportamento malicioso.

Esses executáveis estão ocultos dentro do Termius Helper.app, e sua integração representa uma mudança em relação ao método antigo do ZuRu de injetar arquivos .dylib diretamente em pacotes de aplicativos.

Mecanismos de Persistência e Atualização

O carregador .localized não é usado apenas para buscar payloads, mas também verifica instalações existentes, verificando se o malware está presente em /tmp/.fseventsd. Ele compara o hash MD5 do payload atual com o hospedado remotamente, baixando uma nova versão se houver alguma incompatibilidade. Essa função de autoverificação e atualização provavelmente garante a integridade e a atualidade do código malicioso.

Transformando Khepri em uma arma: um canivete suíço pós-exploração

No centro deste ataque está uma versão modificada do Khepri, um kit de ferramentas de pós-exploração de código aberto. A ferramenta adaptada concede aos invasores amplo controle sobre hosts macOS comprometidos, incluindo:

  • Transferências de arquivos
  • Reconhecimento do sistema
  • Execução e gestão de processos do sistema
  • Execução de comando com recuperação de saída em tempo real

A comunicação é mantida através do servidor C2 ctl01.termius.fun, permitindo controle contínuo sobre as máquinas infectadas.

Evolução das Técnicas de Ataque

A progressão do ZuRu, da injeção de .dylib para a trojanização de aplicativos auxiliares incorporados, parece ser uma mudança deliberada que visa contornar métodos de detecção mais avançados. Apesar dessa mudança, o agente da ameaça continua a se basear em indicadores familiares:

  • Reutilização de nomes de domínio e nomes de arquivo
  • Segmentação consistente de ferramentas de acesso remoto e banco de dados
  • Técnicas conhecidas de persistência e beacon

Esses indicadores refletem um manual comprovado, que continua eficaz em sistemas que não possuem segurança de endpoint forte.

Conclusão: Uma ameaça contínua para o ecossistema macOS

A variante mais recente do ZuRu reforça uma tendência preocupante: ameaças sofisticadas para macOS visando desenvolvedores e profissionais de TI. Ao explorar a confiança em ferramentas populares e adaptar métodos de distribuição, esse malware continua a burlar as defesas em ambientes com proteção inadequada.

Organizações e indivíduos devem permanecer vigilantes, priorizar o uso de fontes de software verificadas e implementar segurança em camadas para detectar e neutralizar ameaças como o ZuRu.

Tendendo

Mais visto

Carregando...