Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac Malware-ul ZuRu pentru Mac

Malware-ul ZuRu pentru Mac

Până în Mezo în Malware pentru Mac
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit noi dovezi care leagă notoriul malware ZuRu de macOS de noi campanii de atac. Cunoscut pentru infiltrarea în sisteme prin intermediul software-ului troianizat, ZuRu continuă să evolueze, utilizând tehnici și instrumente actualizate pentru a compromite utilizatorii neavizați.

Deghizate în instrumente de încredere

La sfârșitul lunii mai 2025, ZuRu a fost văzut dându-se drept Termius, un instrument de gestionare a clienților și serverelor SSH multi-platformă. Aceasta marchează cea mai recentă mișcare dintr-o serie de campanii rău intenționate în care ZuRu se prezintă drept aplicații macOS legitime pentru a infecta mediile dezvoltatorilor și IT. De la prima sa apariție cunoscută în septembrie 2021, când a deturnat rezultatele căutării iTerm2 pe platforma chineză de întrebări și răspunsuri Zhihu, malware-ul a vizat în mod constant utilizatorii care căutau soluții de acces la distanță și de gestionare a bazelor de date.

Tactica se bazează în mare măsură pe rezultatele căutărilor sponsorizate, permițând actorilor vulnerabili să ajungă în mod oportunist la persoanele care deja caută astfel de instrumente. Această abordare crește probabilitatea unei infecții reușite, evitând în același timp detectarea pe scară largă.

De la software piratat la imagini de disc otrăvite

Până în ianuarie 2024, ZuRu fusese observat și ascunzându-se în versiuni piratate ale unor programe software macOS populare, cum ar fi Remote Desktop de la Microsoft, SecureCRT și Navicat. Acum, cercetătorii l-au asociat cu o imagine de disc .dmg coruptă care conține o copie modificată a Termius.app.

Acest pachet de aplicații modificat înlocuiește semnătura de cod a dezvoltatorului original cu o semnătură ad-hoc pentru a ocoli protecțiile de semnare a codului macOS. În el sunt încorporate două componente cheie:

  • .localized: Un încărcător malițios care preia și lansează un beacon Khepri C2 de pe download.termius.info.
  • .Termius Helper1: O versiune rebranduită a aplicației legitime Termius Helper, utilizată pentru a masca comportamentul rău intenționat.

Aceste executabile sunt ascunse în Termius Helper.app, iar integrarea lor reprezintă o schimbare față de metoda mai veche a ZuRu de injectare a fișierelor .dylib direct în pachetele de aplicații.

Mecanisme de persistență și actualizare

Încărcătorul .localized nu este folosit doar pentru preluarea payload-urilor, ci verifică și instalațiile existente, verificând dacă malware-ul este prezent la /tmp/.fseventsd. Compară hash-ul MD5 al payload-ului curent cu cel găzduit de la distanță, descărcând o nouă versiune dacă există o nepotrivire. Această funcție de autoverificare și actualizare asigură probabil atât integritatea, cât și actualitatea codului malițios.

Transformarea lui Khepri în armă: un briceag elvețian post-exploatare

În centrul acestui atac se află o versiune modificată a Khepri, un set de instrumente post-exploatare open-source. Instrumentul adaptat oferă atacatorilor un control extins asupra gazdelor macOS compromise, inclusiv:

  • Transferuri de fișiere
  • Recunoașterea sistemului
  • Executarea și gestionarea proceselor de sistem
  • Executarea comenzilor cu recuperarea ieșirii în timp real

Comunicarea este menținută prin intermediul serverului C2 ctl01.termius.fun, permițând controlul continuu asupra mașinilor infectate.

Evoluția tehnicilor de atac

Progresia ZuRu de la injectarea cu .dylib la troienirea aplicațiilor auxiliare încorporate pare a fi o schimbare deliberată care vizează ocolirea metodelor de detectare mai avansate. În ciuda acestei schimbări, actorul amenințător continuă să se bazeze pe indicatori familiari:

  • Reutilizarea numelor de domeniu și a numelor de fișiere
  • Direcționarea consecventă a instrumentelor de acces la distanță și de baze de date
  • Tehnici cunoscute de persistență și beaconing

Acești indicatori reflectă o strategie dovedită, care rămâne eficientă în sistemele care nu au o securitate puternică a endpoint-urilor.

Concluzie: O amenințare continuă pentru ecosistemul macOS

Cea mai recentă variantă ZuRu întărește o tendință îngrijorătoare: amenințări sofisticate macOS care vizează dezvoltatorii și profesioniștii IT. Prin exploatarea încrederii în instrumente populare și adaptarea metodelor de livrare, acest malware continuă să ocolească apărarea în medii protejate inadecvat.

Organizațiile și persoanele fizice ar trebui să rămână vigilente, să acorde prioritate utilizării surselor de software verificate și să implementeze securitate stratificată pentru a detecta și neutraliza amenințări precum ZuRu.

Trending

Cele mai văzute

Se încarcă...