Multi-License Discount Quote
Banta sa Database Mac Malware ZuRu Mac Malware

ZuRu Mac Malware

Sa pamamagitan ng Mezo sa Mac Malware
Isalin To:

Natuklasan ng mga mananaliksik sa cybersecurity ang bagong ebidensya na nag-uugnay sa kilalang macOS malware ZuRu sa mga bagong kampanya sa pag-atake. Kilala sa mga infiltrating system sa pamamagitan ng Trojanized software, patuloy na umuunlad ang ZuRu, na gumagamit ng mga na-update na diskarte at tool upang ikompromiso ang mga hindi mapag-aalinlanganang user.

Nagbabalatkayo bilang Mga Mapagkakatiwalaang Tool

Noong huling bahagi ng Mayo 2025, nakita si ZuRu na nagpapanggap bilang Termius, isang cross-platform na SSH client at tool sa pamamahala ng server. Ito ay minarkahan ang pinakabagong hakbang sa isang serye ng mga nakakahamak na kampanya kung saan ang ZuRu ay nagpapanggap bilang mga lehitimong macOS application upang mahawahan ang mga developer at IT na kapaligiran. Mula noong unang kilalang hitsura nito noong Setyembre 2021, noong na-hijack nito ang mga resulta ng paghahanap ng iTerm2 sa Chinese Q&A platform na Zhihu, patuloy na tina-target ng malware ang mga user na naghahanap ng malayuang pag-access at mga solusyon sa pamamahala ng database.

Ang taktika ay lubos na umaasa sa mga naka-sponsor na resulta ng paghahanap, na nagpapahintulot sa mga aktor ng pagbabanta na maabot ang mga indibidwal na naghahanap na ng mga naturang tool. Ang diskarte na ito ay nagdaragdag ng posibilidad ng isang matagumpay na impeksyon habang iniiwasan ang mas malawak na pagtuklas.

Mula sa Pirated Software hanggang sa Mga Larawan ng Nalason na Disk

Noong Enero 2024, nakita rin ang ZuRu na nagtatago sa mga pirated na bersyon ng sikat na macOS software gaya ng Remote Desktop, SecureCRT, at Navicat ng Microsoft. Ngayon, iniugnay ito ng mga mananaliksik sa isang sirang .dmg disk image na naglalaman ng na-tamper na kopya ng Termius.app.

Pinapalitan ng binagong application bundle na ito ang orihinal na pirma ng code ng developer ng isang ad hoc signature upang laktawan ang mga proteksyon sa pagpirma ng macOS code. Naka-embed sa loob nito ang dalawang pangunahing bahagi:

  • .localized: Isang nakakahamak na loader na kumukuha at naglulunsad ng Khepri C2 beacon mula sa download.termius.info.
  • .Termius Helper1: Isang na-rebranded na bersyon ng lehitimong Termius Helper app, na ginamit upang itago ang malisyosong gawi.

Nakatago ang mga executable na ito sa loob ng Termius Helper.app, at ang kanilang pagsasama ay kumakatawan sa isang pagbabago mula sa mas lumang paraan ng ZuRu ng direktang pag-inject ng mga .dylib na file sa mga bundle ng application.

Mga Mekanismo ng Pagtitiyaga at Pag-update

Ang .localized loader ay hindi lamang ginagamit para sa pagkuha ng mga payload, sinusuri din nito ang mga kasalukuyang pag-install sa pamamagitan ng pag-verify kung ang malware ay naroroon sa /tmp/.fseventsd. Inihahambing nito ang MD5 hash ng kasalukuyang payload laban sa naka-host nang malayuan, nagda-download ng bagong bersyon kung mayroong hindi tugma. Malamang na sinisiguro ng self-check at update function na ito ang integridad at currency ng malisyosong code.

Weaponizing Khepri: Isang Post-Exploitation Swiss Army Knife

Sa kaibuturan ng pag-atakeng ito ay isang binagong bersyon ng Khepri, isang open-source post-exploitation toolkit. Ang inangkop na tool ay nagbibigay sa mga umaatake ng malawak na kontrol sa mga nakompromisong macOS host, kabilang ang:

  • Mga paglilipat ng file
  • System reconnaissance
  • Pagpapatupad at pamamahala ng mga proseso ng system
  • Pagpapatupad ng command na may real-time na pagkuha ng output

Pinapanatili ang komunikasyon sa pamamagitan ng C2 server na ctl01.termius.fun, na nagbibigay-daan sa patuloy na kontrol sa mga nahawaang makina.

Ebolusyon ng Mga Teknik ng Pag-atake

Ang pag-unlad ng ZuRu mula sa .dylib injection hanggang sa pag-trojan ng mga naka-embed na helper na app ay lumilitaw na isang sinasadyang pagbabago na naglalayong i-bypass ang mas advanced na mga paraan ng pag-detect. Sa kabila ng pagbabagong ito, patuloy na umaasa ang aktor ng pagbabanta sa mga pamilyar na tagapagpahiwatig:

  • Muling paggamit ng mga domain name at file name
  • Patuloy na pag-target ng malayuang pag-access at mga tool sa database
  • Mga kilalang diskarte sa pagtitiyaga at beaconing

Ang mga tagapagpahiwatig na ito ay nagpapakita ng isang napatunayang playbook, isang nananatiling epektibo sa mga system na walang malakas na seguridad sa endpoint.

Konklusyon: Isang Patuloy na Banta para sa macOS Ecosystem

Ang pinakabagong variant ng ZuRu ay nagpapatibay ng isang nauukol na trend: ang mga sopistikadong banta ng macOS na nagta-target sa mga developer at mga propesyonal sa IT. Sa pamamagitan ng pagsasamantala sa tiwala sa mga sikat na tool at pag-aangkop ng mga paraan ng paghahatid, patuloy na nilalampasan ng malware na ito ang mga depensa sa mga hindi sapat na protektadong kapaligiran.

Dapat manatiling mapagbantay ang mga organisasyon at indibidwal, unahin ang paggamit ng mga na-verify na pinagmumulan ng software, at magpatupad ng layered na seguridad upang matukoy at ma-neutralize ang mga banta tulad ng ZuRu.

Trending

Pinaka Nanood

Naglo-load...