Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Mac Phần mềm độc hại ZuRu Mac

Phần mềm độc hại ZuRu Mac

Đến năm Mezo năm Phần mềm độc hại Mac
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã phát hiện bằng chứng mới cho thấy mối liên hệ giữa phần mềm độc hại khét tiếng ZuRu trên macOS với các chiến dịch tấn công mới. Nổi tiếng với khả năng xâm nhập hệ thống thông qua phần mềm Trojan, ZuRu tiếp tục phát triển, tận dụng các kỹ thuật và công cụ cập nhật để tấn công người dùng mà không hề hay biết.

Ngụy trang thành công cụ đáng tin cậy

Vào cuối tháng 5 năm 2025, ZuRu bị phát hiện giả mạo Termius, một công cụ quản lý máy chủ và máy khách SSH đa nền tảng. Đây là động thái mới nhất trong một loạt các chiến dịch độc hại, trong đó ZuRu đóng giả các ứng dụng macOS hợp pháp để lây nhiễm cho môi trường phát triển và CNTT. Kể từ lần đầu tiên xuất hiện vào tháng 9 năm 2021, khi nó chiếm đoạt kết quả tìm kiếm iTerm2 trên nền tảng hỏi đáp Zhihu của Trung Quốc, phần mềm độc hại này đã liên tục nhắm mục tiêu vào người dùng đang tìm kiếm các giải pháp quản lý cơ sở dữ liệu và truy cập từ xa.

Chiến thuật này chủ yếu dựa vào kết quả tìm kiếm được tài trợ, cho phép kẻ tấn công lợi dụng cơ hội tiếp cận những cá nhân đang tìm kiếm các công cụ như vậy. Cách tiếp cận này làm tăng khả năng lây nhiễm thành công đồng thời tránh bị phát hiện rộng rãi hơn.

Từ phần mềm lậu đến hình ảnh đĩa bị nhiễm độc

Đến tháng 1 năm 2024, ZuRu cũng đã bị phát hiện ẩn náu trong các phiên bản lậu của các phần mềm macOS phổ biến như Remote Desktop, SecureCRT và Navicat của Microsoft. Giờ đây, các nhà nghiên cứu đã liên kết nó với một ảnh đĩa .dmg bị hỏng chứa bản sao bị giả mạo của Termius.app.

Gói ứng dụng đã thay đổi này thay thế chữ ký mã gốc của nhà phát triển bằng chữ ký ad hoc để vượt qua các biện pháp bảo vệ chữ ký mã của macOS. Gói ứng dụng này được tích hợp hai thành phần chính:

  • .localized: Một trình tải độc hại sẽ lấy và khởi chạy đèn hiệu Khepri C2 từ download.termius.info.
  • .Termius Helper1: Phiên bản đổi tên của ứng dụng Termius Helper hợp pháp, được sử dụng để che giấu hành vi độc hại.

Các tệp thực thi này được ẩn bên trong Termius Helper.app và việc tích hợp chúng thể hiện sự thay đổi so với phương pháp cũ của ZuRu là đưa các tệp .dylib trực tiếp vào các gói ứng dụng.

Cơ chế duy trì và cập nhật

Trình tải .localized không chỉ được sử dụng để tải payload mà còn kiểm tra các cài đặt hiện có bằng cách xác minh xem phần mềm độc hại có tồn tại tại /tmp/.fseventsd hay không. Trình tải này so sánh mã băm MD5 của payload hiện tại với payload được lưu trữ từ xa, tải xuống phiên bản mới nếu có sự không khớp. Chức năng tự kiểm tra và cập nhật này có thể đảm bảo cả tính toàn vẹn và tính cập nhật của mã độc.

Biến Khepri thành vũ khí: Con dao quân đội Thụy Sĩ sau thời kỳ khai thác

Cốt lõi của cuộc tấn công này là một phiên bản sửa đổi của Khepri, một bộ công cụ hậu khai thác mã nguồn mở. Công cụ được sửa đổi này cho phép kẻ tấn công kiểm soát rộng rãi các máy chủ macOS bị xâm nhập, bao gồm:

  • Chuyển tập tin
  • Hệ thống trinh sát
  • Thực hiện và quản lý các quy trình hệ thống
  • Thực hiện lệnh với khả năng truy xuất đầu ra theo thời gian thực

Việc liên lạc được duy trì thông qua máy chủ C2 ctl01.termius.fun, cho phép kiểm soát liên tục các máy bị nhiễm.

Sự phát triển của các kỹ thuật tấn công

Việc ZuRu chuyển từ việc tiêm mã độc .dylib sang trojan hóa các ứng dụng trợ giúp nhúng dường như là một sự thay đổi có chủ đích nhằm vượt qua các phương pháp phát hiện tiên tiến hơn. Bất chấp sự thay đổi này, kẻ tấn công vẫn tiếp tục dựa vào các chỉ số quen thuộc:

  • Tái sử dụng tên miền và tên tệp
  • Nhắm mục tiêu nhất quán vào các công cụ truy cập từ xa và cơ sở dữ liệu
  • Các kỹ thuật báo hiệu và duy trì đã biết

Các chỉ số này phản ánh một chiến lược đã được chứng minh, vẫn hiệu quả trong các hệ thống thiếu bảo mật điểm cuối mạnh mẽ.

Kết luận: Mối đe dọa đang diễn ra đối với hệ sinh thái macOS

Biến thể ZuRu mới nhất củng cố một xu hướng đáng lo ngại: các mối đe dọa macOS tinh vi nhắm vào các nhà phát triển và chuyên gia CNTT. Bằng cách lợi dụng sự tin tưởng vào các công cụ phổ biến và điều chỉnh phương thức lây lan, phần mềm độc hại này tiếp tục vượt qua các biện pháp phòng thủ trong các môi trường được bảo vệ kém.

Các tổ chức và cá nhân nên luôn cảnh giác, ưu tiên sử dụng các nguồn phần mềm đã được xác minh và triển khai bảo mật nhiều lớp để phát hiện và vô hiệu hóa các mối đe dọa như ZuRu.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,697
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...