Popust za več licenc
Podjetje o grožnjah Mac zlonamerna programska oprema Zlonamerna programska oprema ZuRu za Mac

Zlonamerna programska oprema ZuRu za Mac

Do leta Mezo leta Mac zlonamerna programska oprema
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili nove dokaze, ki povezujejo zloglasno zlonamerno programsko opremo za macOS ZuRu z novimi napadalnimi kampanjami. ZuRu, znan po vdoru v sisteme prek programske opreme, okužene s trojanci, se nenehno razvija in izkorišča posodobljene tehnike in orodja za ogrožanje nič hudega slutečih uporabnikov.

Preobleka v zaupanja vredna orodja

Konec maja 2025 so opazili, da se je ZuRu izdajal za Termius, orodje za upravljanje odjemalcev in strežnikov SSH za več platform. To je najnovejši korak v seriji zlonamernih kampanj, v katerih se ZuRu izdaja za legitimne aplikacije macOS, da bi okužil razvijalska in IT okolja. Od svojega prvega znanega pojava septembra 2021, ko je ugrabil rezultate iskanja iTerm2 na kitajski platformi za vprašanja in odgovore Zhihu, je zlonamerna programska oprema dosledno ciljala na uporabnike, ki iščejo rešitve za oddaljeni dostop in upravljanje baz podatkov.

Taktika se močno zanaša na sponzorirane rezultate iskanja, kar akterjem grožnje omogoča, da oportunistično dosežejo posameznike, ki že iščejo takšna orodja. Ta pristop poveča verjetnost uspešne okužbe, hkrati pa se izogne širšemu odkrivanju.

Od piratske programske opreme do zastrupljenih slik diskov

Do januarja 2024 so ZuRu opazili tudi v piratskih različicah priljubljene programske opreme za macOS, kot so Microsoftov Remote Desktop, SecureCRT in Navicat. Raziskovalci so ga zdaj povezali s poškodovano sliko diska .dmg, ki je vsebovala spremenjeno kopijo datoteke Termius.app.

Ta spremenjeni paket aplikacij nadomešča originalni podpis kode razvijalca z ad hoc podpisom, da bi zaobšel zaščito podpisovanja kode v sistemu macOS. Vanj sta vgrajeni dve ključni komponenti:

  • .localized: Zlonamerni nalagalnik, ki pridobi in zažene svetilnik Khepri C2 s spletne strani download.termius.info.
  • .Termius Helper1: Preimenovana različica legitimne aplikacije Termius Helper, ki se uporablja za prikrivanje zlonamernega vedenja.

Te izvedljive datoteke so skrite znotraj datoteke Termius Helper.app, njihova integracija pa predstavlja spremembo od starejše metode ZuRu-ja, ki je datoteke .dylib vstavljal neposredno v pakete aplikacij.

Mehanizmi vztrajnosti in posodabljanja

Nalagalnik .localized se ne uporablja le za pridobivanje koristnih podatkov, temveč tudi preverja obstoječe namestitve tako, da preveri, ali je zlonamerna programska oprema prisotna v /tmp/.fseventsd. Primerja zgoščeno vrednost MD5 trenutnega koristnega tovora s tistim, ki je gostovan na daljavo, in prenese novo različico, če pride do neskladja. Ta funkcija samopreverjanja in posodabljanja verjetno zagotavlja tako integriteto kot ažurnost zlonamerne kode.

Orožje za Kheprija: švicarski nož po izkoriščanju

V središču tega napada je spremenjena različica Kheprija, odprtokodnega kompleta orodij za preprečevanje zlorab. Prilagojeno orodje napadalcem omogoča širok nadzor nad ogroženimi gostitelji macOS, vključno z:

  • Prenos datotek
  • Sistemsko izvidovanje
  • Izvajanje in upravljanje sistemskih procesov
  • Izvajanje ukazov s pridobivanjem izhodnih podatkov v realnem času

Komunikacija se vzdržuje prek strežnika C2 ctl01.termius.fun, kar omogoča stalen nadzor nad okuženimi računalniki.

Razvoj napadalnih tehnik

ZuRu-jev prehod od vbrizgavanja .dylib k vgrajevanju trojanskih programov v vgrajene pomožne aplikacije se zdi nameren premik, katerega cilj je obiti naprednejše metode zaznavanja. Kljub tej spremembi se akter grožnje še naprej zanaša na znane kazalnike:

  • Ponovna uporaba domenskih imen in imen datotek
  • Dosledno ciljanje orodij za oddaljeni dostop in baze podatkov
  • Znane tehnike vztrajnosti in svetilnika

Ti kazalniki odražajo preizkušen priročnik, ki ostaja učinkovit v sistemih, kjer ni močne varnosti končnih točk.

Zaključek: Stalna grožnja za ekosistem macOS

Najnovejša različica ZuRu krepi zaskrbljujoč trend: sofisticirane grožnje za macOS, usmerjene v razvijalce in IT-strokovnjake. Z izkoriščanjem zaupanja v priljubljena orodja in prilagajanjem načinov dostave ta zlonamerna programska oprema še naprej zaobide obrambo v neustrezno zaščitenih okoljih.

Organizacije in posamezniki bi morali ostati pozorni, dati prednost uporabi preverjenih virov programske opreme in uvesti večplastno varnost za odkrivanje in nevtralizacijo groženj, kot je ZuRu.

V trendu

Najbolj gledan

Nalaganje...