Попуст за више лиценци
Тхреат Датабасе Мац малвер Злонамерни софтвер ZuRu за Mac

Злонамерни софтвер ZuRu за Mac

До Mezo. у Мац малвер
Преведи на:

Истраживачи сајбер безбедности открили су нове доказе који повезују озлоглашени macOS малвер ZuRu са новим кампањама напада. Познат по инфилтрацији у системе путем тројанизованог софтвера, ZuRu наставља да се развија, користећи ажуриране технике и алате како би угрозио неслутеће кориснике.

Маскирање као поуздани алати

Крајем маја 2025. године, ZuRu је виђен како се лажно представља као Termius, крос-платформски алат за управљање SSH клијентима и серверима. Ово означава најновији потез у низу злонамерних кампања у којима се ZuRu представља као легитимне macOS апликације како би заразио програмерска и ИТ окружења. Од свог првог познатог појављивања у септембру 2021. године, када је отео резултате претраге iTerm2 на кинеској платформи за питања и одговоре Zhihu, злонамерни софтвер је константно циљао кориснике који траже решења за удаљени приступ и управљање базама података.

Тактика се у великој мери ослања на спонзорисане резултате претраге, омогућавајући актерима претње да опортунистички дођу до појединаца који већ траже такве алате. Овај приступ повећава вероватноћу успешне инфекције, а истовремено избегава шире откривање.

Од пиратског софтвера до заражених слика дискова

До јануара 2024. године, ZuRu је такође примећен како се крије у пиратским верзијама популарног macOS софтвера као што су Microsoft-ов Remote Desktop, SecureCRT и Navicat. Сада су истраживачи то повезали са оштећеном .dmg сликом диска која садржи измењену копију Termius.app.

Овај измењени пакет апликација замењује оригинални потпис кода програмера ад хок потписом како би се заобишла заштита потписивања кода на macOS-у. У њега су уграђене две кључне компоненте:

  • .localized: Злонамерни програм за учитавање података који преузима и покреће Khepri C2 сигнал са download.termius.info.
  • .Termius Helper1: Ребрендирана верзија легитимне апликације Termius Helper, која се користи за маскирање злонамерног понашања.

Ови извршни фајлови су скривени унутар Termius Helper.app датотеке, а њихова интеграција представља промену у односу на ZuRu-ов старији метод убризгавања .dylib датотека директно у пакете апликација.

Механизми истрајности и ажурирања

Програм за учитавање .localized се не користи само за преузимање корисних података, већ проверава и постојеће инсталације тако што проверава да ли је злонамерни софтвер присутан у /tmp/.fseventsd. Он упоређује MD5 хеш тренутног корисног садржаја са оним који се налази на даљину, преузимајући нову верзију ако постоји неслагање. Ова функција самопровере и ажурирања вероватно осигурава и интегритет и актуелност злонамерног кода.

Наоружавање Кеприја: Швајцарски војни нож након експлоатације

У сржи овог напада је модификована верзија Khepri-ја, алата отвореног кода за пост-експлоатацију. Прилагођени алат даје нападачима широку контролу над угроженим macOS хостовима, укључујући:

  • Пренос датотека
  • Системско извиђање
  • Извршавање и управљање системским процесима
  • Извршавање команди са преузимањем излаза у реалном времену

Комуникација се одржава преко C2 сервера ctl01.termius.fun, што омогућава континуирану контролу над зараженим машинама.

Еволуција техника напада

ZuRu-ов прелазак са .dylib убризгавања на тројанизам уграђених помоћних апликација изгледа као намерна промена усмерена на заобилажење напреднијих метода детекције. Упркос овој промени, претња наставља да се ослања на познате индикаторе:

  • Поновна употреба имена домена и имена датотека
  • Доследно циљање алата за удаљени приступ и базе података
  • Познате технике истрајности и сигнализације

Ови индикатори одражавају проверену методологију, која остаје ефикасна у системима којима недостаје јака безбедност крајњих тачака.

Закључак: Континуирана претња за macOS екосистем

Најновија варијанта ZuRu-а појачава забрињавајући тренд: софистициране претње за macOS усмерене на програмере и ИТ стручњаке. Искоришћавањем поверења у популарне алате и прилагођавањем метода испоруке, овај злонамерни софтвер наставља да заобилази одбрану у неадекватно заштићеним окружењима.

Организације и појединци треба да остану опрезни, да дају приоритет коришћењу проверених извора софтвера и да имплементирају слојевиту безбедност како би открили и неутралисали претње попут ZuRu-а.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,697
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...