ஜூரு மேக் மால்வேர்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், பிரபல MacOS மால்வேர் ZuRu-வை புதிய தாக்குதல் பிரச்சாரங்களுடன் இணைக்கும் புதிய ஆதாரங்களைக் கண்டறிந்துள்ளனர். ட்ரோஜனேற்றப்பட்ட மென்பொருள் மூலம் அமைப்புகளுக்குள் ஊடுருவுவதற்குப் பெயர் பெற்ற ZuRu, சந்தேகத்திற்கு இடமில்லாத பயனர்களை சமரசம் செய்ய புதுப்பிக்கப்பட்ட நுட்பங்கள் மற்றும் கருவிகளைப் பயன்படுத்தி தொடர்ந்து உருவாகி வருகிறது.
பொருளடக்கம்
நம்பகமான கருவிகளாக மாறுவேடம் போடுதல்
மே 2025 இன் பிற்பகுதியில், ZuRu, ஒரு குறுக்கு-தளம் SSH கிளையன்ட் மற்றும் சர்வர் மேலாண்மை கருவியான டெர்மியஸைப் போல ஆள்மாறாட்டம் செய்வது காணப்பட்டது. டெவலப்பர் மற்றும் IT சூழல்களைப் பாதிக்க ZuRu முறையான macOS பயன்பாடுகளாகக் காட்டும் தொடர்ச்சியான தீங்கிழைக்கும் பிரச்சாரங்களில் இது சமீபத்திய நடவடிக்கையாகும். செப்டம்பர் 2021 இல் சீன கேள்வி பதில் தளமான Zhihu இல் iTerm2 தேடல் முடிவுகளை அது கடத்தியதிலிருந்து, தீம்பொருள் தொலைநிலை அணுகல் மற்றும் தரவுத்தள மேலாண்மை தீர்வுகளைத் தேடும் பயனர்களை தொடர்ந்து குறிவைத்து வருகிறது.
இந்த தந்திரோபாயம் ஸ்பான்சர் செய்யப்பட்ட தேடல் முடிவுகளைப் பெரிதும் நம்பியுள்ளது, அச்சுறுத்தல் செய்பவர்கள் ஏற்கனவே அத்தகைய கருவிகளைத் தேடும் நபர்களை சந்தர்ப்பவாதமாக அடைய அனுமதிக்கிறது. இந்த அணுகுமுறை பரந்த கண்டறிதலைத் தவிர்க்கும் அதே வேளையில் வெற்றிகரமான தொற்றுநோய்க்கான வாய்ப்பை அதிகரிக்கிறது.
திருட்டு மென்பொருளிலிருந்து விஷம் கலந்த வட்டு படங்கள் வரை
ஜனவரி 2024 வாக்கில், மைக்ரோசாப்டின் ரிமோட் டெஸ்க்டாப், செக்யூர்சிஆர்டி மற்றும் நவிக்கட் போன்ற பிரபலமான மேகோஸ் மென்பொருளின் திருட்டு பதிப்புகளில் ஜூரு மறைந்திருப்பது கண்டறியப்பட்டது. இப்போது, ஆராய்ச்சியாளர்கள் அதை டெர்மியஸ்.ஆப்பின் சிதைக்கப்பட்ட நகலை கொண்ட சிதைந்த .dmg வட்டு படத்துடன் இணைத்துள்ளனர்.
இந்த மாற்றப்பட்ட பயன்பாட்டுத் தொகுப்பு, அசல் டெவலப்பரின் குறியீடு கையொப்பத்தை ஒரு தற்காலிக கையொப்பத்துடன் மாற்றுகிறது, இது macOS குறியீடு கையொப்பப் பாதுகாப்புகளைத் தவிர்க்கிறது. இதில் இரண்டு முக்கிய கூறுகள் உட்பொதிக்கப்பட்டுள்ளன:
- .localized: download.termius.info இலிருந்து Khepri C2 பீக்கனைப் பெற்றுத் தொடங்கும் ஒரு தீங்கிழைக்கும் ஏற்றி.
- .டெர்மியஸ் ஹெல்ப்பர்1: தீங்கிழைக்கும் நடத்தையை மறைக்கப் பயன்படுத்தப்படும் முறையான டெர்மியஸ் ஹெல்ப்பர் செயலியின் மறுபெயரிடப்பட்ட பதிப்பு.
இந்த இயங்கக்கூடியவை Termius Helper.app-க்குள் மறைக்கப்பட்டுள்ளன, மேலும் அவற்றின் ஒருங்கிணைப்பு, ZuRu-வின் பழைய முறையான .dylib கோப்புகளை நேரடியாக பயன்பாட்டுத் தொகுப்புகளில் செலுத்தும் மாற்றத்தைக் குறிக்கிறது.
நிலைத்தன்மை மற்றும் புதுப்பித்தல் வழிமுறைகள்
.localized ஏற்றி, பேலோடுகளைப் பெறுவதற்கு மட்டும் பயன்படுத்தப்படுவதில்லை, தீம்பொருள் /tmp/.fseventsd இல் உள்ளதா என்பதைச் சரிபார்ப்பதன் மூலம் ஏற்கனவே உள்ள நிறுவல்களையும் சரிபார்க்கிறது. இது தற்போதைய பேலோடின் MD5 ஹாஷை தொலைவிலிருந்து ஹோஸ்ட் செய்யப்பட்ட ஒன்றோடு ஒப்பிட்டு, பொருந்தாத தன்மை இருந்தால் புதிய பதிப்பைப் பதிவிறக்குகிறது. இந்த சுய சரிபார்ப்பு மற்றும் புதுப்பிப்பு செயல்பாடு தீங்கிழைக்கும் குறியீட்டின் ஒருமைப்பாடு மற்றும் நாணயம் இரண்டையும் உறுதி செய்கிறது.
கெப்ரியை ஆயுதமாக்குதல்: சுரண்டலுக்குப் பிந்தைய சுவிஸ் இராணுவ கத்தி
இந்தத் தாக்குதலின் மையத்தில் கெப்ரியின் மாற்றியமைக்கப்பட்ட பதிப்பு உள்ளது, இது ஒரு திறந்த மூல சுரண்டலுக்குப் பிந்தைய கருவித்தொகுப்பாகும். தழுவிய கருவி, சமரசம் செய்யப்பட்ட மேகோஸ் ஹோஸ்ட்கள் மீது தாக்குபவர்களுக்கு பரந்த கட்டுப்பாட்டை வழங்குகிறது, அவற்றுள்:
- கோப்பு இடமாற்றங்கள்
- அமைப்பு கண்காணிப்பு
- அமைப்பு செயல்முறைகளை செயல்படுத்துதல் மற்றும் நிர்வகித்தல்
- நிகழ்நேர வெளியீட்டு மீட்டெடுப்புடன் கட்டளை செயல்படுத்தல்
C2 சர்வர் ctl01.termius.fun மூலம் தொடர்பு பராமரிக்கப்படுகிறது, இதனால் பாதிக்கப்பட்ட இயந்திரங்கள் மீது தொடர்ச்சியான கட்டுப்பாடு சாத்தியமாகும்.
தாக்குதல் நுட்பங்களின் பரிணாமம்
.dylib ஊசியிலிருந்து உட்பொதிக்கப்பட்ட உதவி பயன்பாடுகளை ட்ரோஜனைஸ் செய்வதற்கு ZuRu-வின் முன்னேற்றம், மேம்பட்ட கண்டறிதல் முறைகளைத் தவிர்ப்பதை நோக்கமாகக் கொண்ட ஒரு வேண்டுமென்றே மாற்றமாகத் தெரிகிறது. இந்த மாற்றம் இருந்தபோதிலும், அச்சுறுத்தல் நடிகர் தொடர்ந்து பழக்கமான குறிகாட்டிகளை நம்பியுள்ளார்:
- டொமைன் பெயர்கள் மற்றும் கோப்பு பெயர்களை மீண்டும் பயன்படுத்துதல்.
- தொலைநிலை அணுகல் மற்றும் தரவுத்தள கருவிகளின் நிலையான இலக்கு
- அறியப்பட்ட நிலைத்தன்மை மற்றும் விளக்கேற்றும் நுட்பங்கள்
இந்த குறிகாட்டிகள் நிரூபிக்கப்பட்ட விளையாட்டு புத்தகத்தை பிரதிபலிக்கின்றன, இது வலுவான இறுதிப்புள்ளி பாதுகாப்பு இல்லாத அமைப்புகளில் பயனுள்ளதாக இருக்கும்.
முடிவு: மேகோஸ் சுற்றுச்சூழல் அமைப்புக்கு ஒரு தொடர்ச்சியான அச்சுறுத்தல்.
சமீபத்திய ZuRu மாறுபாடு ஒரு கவலைக்குரிய போக்கை வலுப்படுத்துகிறது: டெவலப்பர்கள் மற்றும் IT நிபுணர்களை குறிவைக்கும் அதிநவீன macOS அச்சுறுத்தல்கள். பிரபலமான கருவிகள் மீதான நம்பிக்கையைப் பயன்படுத்திக் கொள்வதன் மூலமும், விநியோக முறைகளை மாற்றியமைப்பதன் மூலமும், இந்த தீம்பொருள் போதுமான அளவு பாதுகாக்கப்படாத சூழல்களில் பாதுகாப்புகளைத் தொடர்ந்து கடந்து செல்கிறது.
நிறுவனங்களும் தனிநபர்களும் விழிப்புடன் இருக்க வேண்டும், சரிபார்க்கப்பட்ட மென்பொருள் மூலங்களைப் பயன்படுத்துவதற்கு முன்னுரிமை அளிக்க வேண்டும், மேலும் ZuRu போன்ற அச்சுறுத்தல்களைக் கண்டறிந்து நடுநிலையாக்க அடுக்கு பாதுகாப்பைச் செயல்படுத்த வேண்டும்.
