Rabattoffert för flera licenser
Hotdatabas Mac Malware ZuRu Mac-skadlig programvara

ZuRu Mac-skadlig programvara

Med Mezo år Mac Malware
Översätt till:

Cybersäkerhetsforskare har upptäckt nya bevis som kopplar den ökända macOS-skadliga programvaran ZuRu till nya attackkampanjer. ZuRu, som är känd för att infiltrera system med trojaner, fortsätter att utvecklas och utnyttjar uppdaterade tekniker och verktyg för att kompromettera intet ont anande användare.

Maskerade som pålitliga verktyg

I slutet av maj 2025 sågs ZuRu utge sig för att vara Termius, ett plattformsoberoende SSH-klient- och serverhanteringsverktyg. Detta markerar det senaste draget i en serie skadliga kampanjer där ZuRu utger sig för att vara legitima macOS-applikationer för att infektera utvecklare och IT-miljöer. Sedan dess första kända uppträdande i september 2021, då den kapade iTerm2-sökresultaten på den kinesiska Q&A-plattformen Zhihu, har den skadliga programvaran konsekvent riktat in sig på användare som söker fjärråtkomst- och databashanteringslösningar.

Taktiken förlitar sig starkt på sponsrade sökresultat, vilket gör det möjligt för hotaktörerna att opportunistiskt nå individer som redan söker efter sådana verktyg. Denna metod ökar sannolikheten för en lyckad infektion samtidigt som bredare upptäckt undviks.

Från piratkopierad programvara till förgiftade diskavbildningar

I januari 2024 hade ZuRu också upptäckts gömd i piratkopierade versioner av populär macOS-programvara som Microsofts Remote Desktop, SecureCRT och Navicat. Nu har forskare kopplat den till en skadad .dmg-diskavbildning som innehöll en manipulerad kopia av Termius.app.

Detta ändrade programpaket ersätter den ursprungliga utvecklarens kodsignatur med en ad hoc-signatur för att kringgå macOS-kodsigneringsskydd. Inbäddade i det finns två viktiga komponenter:

  • .localized: En skadlig laddare som hämtar och startar en Khepri C2-beacon från download.termius.info.
  • .Termius Helper1: En omdöpt version av den legitima Termius Helper-appen, som används för att maskera det skadliga beteendet.

Dessa körbara filer är dolda inuti Termius Helper.app, och deras integration representerar en förändring från ZuRus äldre metod att injicera .dylib-filer direkt i applikationspaket.

Persistens- och uppdateringsmekanismer

.localized-loadern används inte bara för att hämta nyttolaster, den kontrollerar även befintliga installationer genom att verifiera om skadlig kod finns på /tmp/.fseventsd. Den jämför MD5-hashen för den aktuella nyttolasten med den som finns på distans och laddar ner en ny version om det finns en avvikelse. Denna självkontroll- och uppdateringsfunktion säkerställer sannolikt både integriteten och aktualiteten hos den skadliga koden.

Vapengörande av Khepri: En schweizisk armékniv efter exploatering

Kärnan i denna attack är en modifierad version av Khepri, en verktygslåda med öppen källkod för efterbehandling av attacker. Det anpassade verktyget ger angripare bred kontroll över komprometterade macOS-värdar, inklusive:

  • Filöverföringar
  • Systemspaning
  • Utförande och hantering av systemprocesser
  • Kommandokörning med hämtning av utdata i realtid

Kommunikationen upprätthålls via C2-servern ctl01.termius.fun, vilket möjliggör kontinuerlig kontroll över de infekterade maskinerna.

Utvecklingen av attacktekniker

ZuRus utveckling från .dylib-injektion till att trojanisera inbäddade hjälpappar verkar vara ett avsiktligt skifte som syftar till att kringgå mer avancerade detekteringsmetoder. Trots denna förändring fortsätter hotbilden att förlita sig på välkända indikatorer:

  • Återanvändning av domännamn och filnamn
  • Konsekvent inriktning på fjärråtkomst- och databasverktyg
  • Kända persistens- och beaconing-tekniker

Dessa indikatorer återspeglar en beprövad strategi, en som förblir effektiv i system som saknar stark slutpunktssäkerhet.

Slutsats: Ett pågående hot mot macOS-ekosystemet

Den senaste ZuRu-varianten förstärker en oroande trend: sofistikerade macOS-hot riktar sig mot utvecklare och IT-proffs. Genom att utnyttja förtroendet för populära verktyg och anpassa leveransmetoder fortsätter denna skadliga kod att kringgå försvar i otillräckligt skyddade miljöer.

Organisationer och individer bör förbli vaksamma, prioritera användningen av verifierade programvarukällor och implementera säkerhet i flera lager för att upptäcka och neutralisera hot som ZuRu.

Trendigt

Mest sedda

Läser in...