Скидка на мультилицензию
База данных угроз Вредоносное ПО для Mac Вредоносное ПО ZuRu для Mac

Вредоносное ПО ZuRu для Mac

К Mezo году в Вредоносное ПО для Mac году
Перевести на:

Исследователи кибербезопасности обнаружили новые доказательства связи печально известного вредоносного ПО ZuRu для macOS с новыми атаками. ZuRu, известный проникновением в системы посредством троянизированного ПО, продолжает развиваться, используя обновлённые методы и инструменты для компрометации ничего не подозревающих пользователей.

Маскировка под надежные инструменты

В конце мая 2025 года ZuRu был замечен под видом Termius — кроссплатформенного инструмента управления SSH-клиентом и сервером. Это очередной шаг в серии вредоносных кампаний, в которых ZuRu маскируется под легитимные приложения macOS для заражения сред разработчиков и IT-специалистов. С момента своего первого известного появления в сентябре 2021 года, когда он похитил результаты поиска iTerm2 на китайской платформе вопросов и ответов Zhihu, вредоносная программа постоянно атаковала пользователей, ищущих решения для удалённого доступа и управления базами данных.

Эта тактика в значительной степени опирается на спонсируемые результаты поиска, что позволяет злоумышленникам своевременно охватить пользователей, уже ищущих подобные инструменты. Такой подход повышает вероятность успешного заражения, избегая при этом более широкого обнаружения.

От пиратского ПО до отравленных образов дисков

К январю 2024 года ZuRu также был замечен в пиратских версиях популярных программ для macOS, таких как Microsoft Remote Desktop, SecureCRT и Navicat. Теперь исследователи связали его с повреждённым образом диска .dmg, содержащим изменённую копию Termius.app.

Этот изменённый пакет приложения заменяет исходную подпись кода разработчика на произвольную подпись для обхода защиты подписи кода macOS. В него встроены два ключевых компонента:

  • .localized: вредоносный загрузчик, который извлекает и запускает маяк Khepri C2 с download.termius.info.
  • .Termius Helper1: переименованная версия легитимного приложения Termius Helper, используемая для маскировки вредоносного поведения.

Эти исполняемые файлы скрыты внутри Termius Helper.app, и их интеграция представляет собой изменение старого метода ZuRu по внедрению файлов .dylib непосредственно в пакеты приложений.

Механизмы сохранения и обновления

Загрузчик .localized используется не только для загрузки полезных данных, но и проверяет существующие установки, проверяя наличие вредоносного ПО в каталоге /tmp/.fseventsd. Он сравнивает MD5-хеш текущей полезной нагрузки с хешом, размещённым удалённо, и загружает новую версию в случае несоответствия. Эта функция самопроверки и обновления, вероятно, гарантирует как целостность, так и актуальность вредоносного кода.

Вооружение Хепри: швейцарский армейский нож, снятый с вооружения

В основе этой атаки лежит модифицированная версия Khepri, инструментария для постэксплуатации с открытым исходным кодом. Адаптированный инструмент предоставляет злоумышленникам широкий контроль над скомпрометированными хостами macOS, включая:

  • Передача файлов
  • Системная разведка
  • Исполнение и управление системными процессами
  • Выполнение команд с получением выходных данных в реальном времени

Связь поддерживается через сервер C2 ctl01.termius.fun, что позволяет осуществлять непрерывный контроль над зараженными машинами.

Эволюция методов нападения

Переход ZuRu от внедрения .dylib к троянизации встроенных вспомогательных приложений, по всей видимости, является намеренным шагом, направленным на обход более продвинутых методов обнаружения. Несмотря на это изменение, злоумышленники продолжают полагаться на привычные индикаторы:

  • Повторное использование доменных имен и имен файлов
  • Последовательное нацеливание на инструменты удаленного доступа и баз данных
  • Известные методы настойчивости и маячков

Эти показатели отражают проверенную стратегию, которая остается эффективной в системах, не имеющих надежной защиты конечных точек.

Заключение: постоянная угроза экосистеме macOS

Последняя версия ZuRu подтверждает тревожную тенденцию: сложные угрозы для macOS нацелены на разработчиков и IT-специалистов. Пользуясь доверием к популярным инструментам и адаптируя методы распространения, эта вредоносная программа продолжает обходить средства защиты в недостаточно защищённых средах.

Организациям и частным лицам следует сохранять бдительность, отдавать приоритет использованию проверенных источников программного обеспечения и внедрять многоуровневую защиту для обнаружения и нейтрализации таких угроз, как ZuRu.

В тренде

Мошенничество при размещении заказа

Вредоносное ПО, Фишинг, Спам
В цифровую эпоху электронная почта остается одним из самых распространенных средств коммуникации и одним из самых злоупотребляемых. Среди бесчисленных вредоносных кампаний по электронной почте,...

Наиболее просматриваемые

Загрузка...