Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mac malware ZuRu Mac Malware

ZuRu Mac Malware

Nga MezoMac malware
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar prova të reja që lidhin malware-in famëkeq macOS ZuRu me fushata të reja sulmesh. I njohur për infiltrimin e sistemeve përmes softuerëve të trojanizuar, ZuRu vazhdon të evoluojë, duke shfrytëzuar teknika dhe mjete të përditësuara për të kompromentuar përdoruesit e pasigurt.

Maskuar si mjete të besueshme

Në fund të majit 2025, ZuRu u pa duke u imituar si Termius, një mjet menaxhimi klientësh dhe serverësh SSH për platforma të ndryshme. Kjo shënon lëvizjen më të fundit në një seri fushatash keqdashëse ku ZuRu paraqitet si aplikacione legjitime macOS për të infektuar mjediset e zhvilluesve dhe IT-së. Që nga shfaqja e tij e parë e njohur në shtator 2021, kur rrëmbeu rezultatet e kërkimit iTerm2 në platformën kineze të pyetjeve dhe përgjigjeve Zhihu, malware ka synuar vazhdimisht përdoruesit që kërkojnë zgjidhje për akses në distancë dhe menaxhim të bazës së të dhënave.

Taktika mbështetet shumë në rezultatet e kërkimit të sponsorizuara, duke u lejuar aktorëve të kërcënimit të arrijnë në mënyrë oportuniste individë që tashmë kërkojnë mjete të tilla. Kjo qasje rrit gjasat e një infeksioni të suksesshëm, duke shmangur zbulimin më të gjerë.

Nga softuerët e piratuar te imazhet e diskut të helmuara

Deri në janar të vitit 2024, ZuRu ishte parë gjithashtu i fshehur në versione pirate të softuerëve të njohur macOS, siç janë Remote Desktop i Microsoft, SecureCRT dhe Navicat. Tani, studiuesit e kanë lidhur atë me një imazh disku .dmg të korruptuar që përmban një kopje të manipuluar të Termius.app.

Ky paketë aplikacionesh e ndryshuar zëvendëson nënshkrimin origjinal të kodit të zhvilluesit me një nënshkrim ad hoc për të anashkaluar mbrojtjet e nënshkrimit të kodit të macOS. Brenda tij janë të integruar dy komponentë kryesorë:

  • .localized: Një ngarkues keqdashës që merr dhe lëshon një sinjalizues Khepri C2 nga download.termius.info.
  • .Termius Helper1: Një version i ribërë i aplikacionit legjitim Termius Helper, i përdorur për të maskuar sjelljen keqdashëse.

Këto skedarë ekzekutues janë të fshehur brenda Termius Helper.app, dhe integrimi i tyre përfaqëson një ndryshim nga metoda më e vjetër e ZuRu për injektimin e skedarëve .dylib direkt në paketat e aplikacioneve.

Mekanizmat e Qëndrueshmërisë dhe Përditësimit

Ngarkuesi .localized nuk përdoret vetëm për të marrë ngarkesat, por kontrollon edhe instalimet ekzistuese duke verifikuar nëse programi keqdashës është i pranishëm në /tmp/.fseventsd. Ai krahason hash-in MD5 të ngarkesës aktuale me atë të hostuar në distancë, duke shkarkuar një version të ri nëse ka ndonjë mospërputhje. Ky funksion vetëkontrolli dhe përditësimi ka të ngjarë të sigurojë si integritetin ashtu edhe vlerën e kodit keqdashës.

Armatosja e Khepri-t: Një thikë zvicerane ushtarake pas shfrytëzimit

Në thelb të këtij sulmi është një version i modifikuar i Khepri, një set mjetesh me burim të hapur pas shfrytëzimit. Mjeti i adaptuar u jep sulmuesve kontroll të gjerë mbi hostet e kompromentuara të macOS, duke përfshirë:

  • Transferimet e skedarëve
  • Zbulimi i sistemit
  • Ekzekutimi dhe menaxhimi i proceseve të sistemit
  • Ekzekutimi i komandës me rikthim të rezultatit në kohë reale

Komunikimi mbahet përmes serverit C2 ctl01.termius.fun, duke mundësuar kontroll të vazhdueshëm mbi makinat e infektuara.

Evolucioni i Teknikave të Sulmit

Kalimi i ZuRu nga injektimi .dylib në trojanizimin e aplikacioneve ndihmëse të integruara duket të jetë një ndryshim i qëllimshëm që synon të anashkalojë metodat më të avancuara të zbulimit. Pavarësisht këtij ndryshimi, aktori kërcënues vazhdon të mbështetet në tregues të njohur:

  • Ripërdorimi i emrave të domeneve dhe emrave të skedarëve
  • Synim i vazhdueshëm i aksesit në distancë dhe mjeteve të bazës së të dhënave
  • Teknika të njohura të këmbënguljes dhe sinjalizimit

Këta tregues pasqyrojnë një manual të provuar, i cili mbetet efektiv në sistemet që nuk kanë siguri të fortë të pikave fundore.

Përfundim: Një kërcënim i vazhdueshëm për ekosistemin macOS

Varianti më i fundit i ZuRu përforcon një trend shqetësues: kërcënime të sofistikuara ndaj macOS që synojnë zhvilluesit dhe profesionistët e IT-së. Duke shfrytëzuar besimin në mjetet e njohura dhe duke përshtatur metodat e shpërndarjes, ky malware vazhdon të anashkalojë mbrojtjet në mjedise të mbrojtura në mënyrë të pamjaftueshme.

Organizatat dhe individët duhet të mbeten vigjilentë, të japin përparësi përdorimit të burimeve të verifikuara të softuerëve dhe të zbatojnë siguri të shtresuar për të zbuluar dhe neutralizuar kërcënime si ZuRu.

Në trend

Më e shikuara

Po ngarkohet...