Malvér ZuRu pre Mac

Výskumníci v oblasti kybernetickej bezpečnosti objavili nové dôkazy, ktoré spájajú notoricky známy malvér ZuRu pre macOS s novými útočnými kampaňami. ZuRu, známy infiltráciou systémov prostredníctvom softvéru s trójskymi koňmi, sa neustále vyvíja a využíva aktualizované techniky a nástroje na ohrozenie nič netušiacich používateľov.

Maškaráda ako dôveryhodné nástroje

Koncom mája 2025 sa ZuRu vydával za Termius, multiplatformový nástroj na správu SSH klientov a serverov. Ide o najnovší krok v sérii škodlivých kampaní, v ktorých sa ZuRu vydáva za legitímne aplikácie macOS s cieľom infikovať vývojárske a IT prostredia. Od svojho prvého známeho objavenia sa v septembri 2021, keď uniesol výsledky vyhľadávania iTerm2 na čínskej platforme otázok a odpovedí Zhihu, sa malvér neustále zameriava na používateľov hľadajúcich riešenia vzdialeného prístupu a správy databáz.

Táto taktika sa vo veľkej miere spolieha na sponzorované výsledky vyhľadávania, čo umožňuje útočníkom oportunisticky osloviť jednotlivcov, ktorí už takéto nástroje hľadajú. Tento prístup zvyšuje pravdepodobnosť úspešnej infekcie a zároveň sa vyhýba širšej detekcii.

Od pirátskeho softvéru k infikovaným obrazom diskov

Do januára 2024 bol ZuRu skrytý aj v pirátskych verziách populárneho softvéru pre macOS, ako je napríklad Microsoft Remote Desktop, SecureCRT a Navicat. Výskumníci ho teraz prepojili s poškodeným obrazom disku .dmg obsahujúcim upravenú kópiu súboru Termius.app.

Tento upravený balík aplikácií nahrádza pôvodný podpis kódu vývojára podpisom ad hoc, aby sa obišla ochrana podpisovania kódu v systéme macOS. Sú v ňom zabudované dve kľúčové komponenty:

• .localized: Škodlivý zavádzač, ktorý načíta a spustí maják Khepri C2 zo stránky download.termius.info.
• .Termius Helper1: Premenovaná verzia legitímnej aplikácie Termius Helper, ktorá sa používa na maskovanie škodlivého správania.

Tieto spustiteľné súbory sú skryté v súbore Termius Helper.app a ich integrácia predstavuje zmenu oproti staršej metóde ZuRu, ktorá vkladala súbory .dylib priamo do balíkov aplikácií.

Mechanizmy perzistencie a aktualizácie

Zavádzač .localized sa nepoužíva len na načítanie dát, ale tiež kontroluje existujúce inštalácie overením, či sa malvér nachádza v súbore /tmp/.fseventsd. Porovnáva hash MD5 aktuálneho dáta s dátami hostovanými na diaľku a v prípade nezhody stiahne novú verziu. Táto funkcia samokontroly a aktualizácie pravdepodobne zabezpečuje integritu aj aktuálnosť škodlivého kódu.

Zbraňovanie Khepriho: Švajčiarsky armádny nôž po vykorisťovaní

Jadrom tohto útoku je upravená verzia Khepri, open-source nástroja na boj proti zneužitiu. Upravený nástroj poskytuje útočníkom širokú kontrolu nad napadnutými hostiteľmi macOS vrátane:

• Prenos súborov
• Prieskum systému
• Vykonávanie a riadenie systémových procesov
• Vykonávanie príkazov s načítaním výstupu v reálnom čase

Komunikácia prebieha prostredníctvom servera C2 ctl01.termius.fun, čo umožňuje nepretržitú kontrolu nad infikovanými počítačmi.

Vývoj útočných techník

Zdá sa, že prechod ZuRu od vkladania .dylib k napadnutiu vstavanými pomocnými aplikáciami trójskymi koňmi je zámerným krokom zameraným na obchádzanie pokročilejších metód detekcie. Napriek tejto zmene sa útočník naďalej spolieha na známe indikátory:

• Opätovné použitie doménových mien a názvov súborov
• Konzistentné zacielenie nástrojov vzdialeného prístupu a databáz
• Známe techniky perzistencie a beaconingu

Tieto indikátory odrážajú overený postup, ktorý zostáva účinný v systémoch bez silného zabezpečenia koncových bodov.

Záver: Pretrvávajúca hrozba pre ekosystém macOS

Najnovší variant ZuRu potvrdzuje znepokojujúci trend: sofistikované hrozby pre macOS zamerané na vývojárov a IT profesionálov. Zneužívaním dôvery v populárne nástroje a prispôsobovaním metód doručovania tento malvér naďalej obchádza obranu v nedostatočne chránených prostrediach.

Organizácie a jednotlivci by mali zostať ostražití, uprednostňovať používanie overených zdrojov softvéru a implementovať viacvrstvové zabezpečenie na detekciu a neutralizáciu hrozieb, ako je ZuRu.