Шкідливе програмне забезпечення ZuRu для Mac
Дослідники з кібербезпеки виявили нові докази, що пов'язують сумнозвісну шкідливу програму для macOS ZuRu з новими атаками. Відома проникненням у системи за допомогою троянських програм, ZuRu продовжує розвиватися, використовуючи оновлені методи та інструменти для компрометації нічого не підозрюючих користувачів.
Зміст
Маскування під надійні інструменти
Наприкінці травня 2025 року ZuRu було помічено під виглядом Termius, кросплатформного інструменту керування SSH-клієнтом та сервером. Це останній крок у серії шкідливих кампаній, де ZuRu видає себе за легітимні програми macOS для зараження середовищ розробників та ІТ-середовищ. З моменту своєї першої відомої появи у вересні 2021 року, коли він захопив результати пошуку iTerm2 на китайській платформі запитань та відповідей Zhihu, шкідливе програмне забезпечення постійно атакувало користувачів, які шукають рішення для віддаленого доступу та управління базами даних.
Ця тактика значною мірою спирається на результати спонсорованого пошуку, що дозволяє зловмисникам випадково охопити людей, які вже шукають такі інструменти. Такий підхід збільшує ймовірність успішного зараження, уникаючи при цьому ширшого виявлення.
Від піратського програмного забезпечення до отруєних образів дисків
До січня 2024 року ZuRu також помітили в піратських версіях популярного програмного забезпечення macOS, такого як Remote Desktop від Microsoft, SecureCRT та Navicat. Тепер дослідники пов’язали його з пошкодженим образом диска .dmg, що містив підроблену копію Termius.app.
Цей змінений пакет програм замінює оригінальний підпис коду розробника на спеціальний підпис, щоб обійти захист підпису коду macOS. У нього вбудовано два ключові компоненти:
- .localized: Шкідливий завантажувач, який отримує та запускає маячок Khepri C2 з download.termius.info.
- .Termius Helper1: Ребрендована версія легітимного додатка Termius Helper, що використовується для маскування шкідливої поведінки.
Ці виконувані файли приховані всередині Termius Helper.app, і їх інтеграція являє собою зміну від старішого методу ZuRu, який впроваджував файли .dylib безпосередньо в пакети програм.
Механізми збереження та оновлення
Завантажувач .localized використовується не лише для отримання корисних навантажень, але й для перевірки наявності шкідливого програмного забезпечення у /tmp/.fseventsd. Він порівнює хеш MD5 поточного корисного навантаження з тим, що розміщено віддалено, завантажуючи нову версію, якщо є невідповідність. Ця функція самоперевірки та оновлення, ймовірно, забезпечує як цілісність, так і актуальність шкідливого коду.
Зброя Хепрі: швейцарський армійський ніж після експлуатації
В основі цієї атаки лежить модифікована версія Khepri, інструментарію з відкритим кодом для пост-експлоатаційної боротьби. Адаптований інструмент надає зловмисникам широкий контроль над скомпрометованими хостами macOS, зокрема:
- Передача файлів
- Системна розвідка
- Виконання та управління системними процесами
- Виконання команд з отриманням виводу в режимі реального часу
Зв'язок підтримується через сервер C2 ctl01.termius.fun, що дозволяє здійснювати постійний контроль над зараженими машинами.
Еволюція технік атаки
Перехід ZuRu від ін'єкцій .dylib до троянізації вбудованих допоміжних програм, схоже, є навмисним кроком, спрямованим на обхід більш просунутих методів виявлення. Незважаючи на цю зміну, зловмисник продовжує покладатися на знайомі індикатори:
- Повторне використання доменних імен та імен файлів
- Послідовне таргетування інструментів віддаленого доступу та баз даних
- Відомі методи персистенції та маячків
Ці індикатори відображають перевірений метод, який залишається ефективним у системах, де відсутній надійний захист кінцевих точок.
Висновок: Постійна загроза для екосистеми macOS
Останній варіант ZuRu підкріплює тривожну тенденцію: складні загрози для macOS, спрямовані на розробників та ІТ-фахівців. Зловмисне програмне забезпечення, використовуючи довіру до популярних інструментів та адаптуючи методи доставки, продовжує обходити захист у недостатньо захищених середовищах.
Організаціям та окремим особам слід залишатися пильними, надавати пріоритет використанню перевірених джерел програмного забезпечення та впроваджувати багаторівневу безпеку для виявлення та нейтралізації таких загроз, як ZuRu.
