新しいZuRu MacOSマルウェアがトロイの木馬化されたビジネスアプリを介して広がる

ホームニュース* 研究者たちは2025年5月下旬にZuRu macOSマルウェアからの新しい活動を特定しました。

• ZuRuは、Termius SSHクライアントを含む正当なソフトウェアに偽装して、Macコンピュータを感染させます。
• マルウェアは、リモートアクセスと制御のために、Khepriと呼ばれる改良されたオープンソースツールキットを使用しています。
• 攻撃者は、主にスポンサー付きのウェブ検索を通じて見つけたトロイの木馬アプリを介してZuRuを配布します。
• 最近の変更により、マルウェアはmacOSシステムのセキュリティを回避するために新しい手法を使用するようになりました。 サイバーセキュリティの専門家たちは、2025年5月にAppleのmacOSに影響を与えるマルウェアZuRuの新たな兆候を検出しました。このマルウェアは、人気のあるビジネスおよびIT管理アプリケーションを模倣することで広がり、変更されたインストールファイルを通じてユーザーを標的にします。ZuRuの最新の出現は、SSHクライアントおよびサーバー管理ツールTermiusを模倣しています。

• 広告 - SentinelOneの報告によれば、研究者たちはZuRuがTermiusの偽バージョンを使用しているのを観察しました。攻撃者は、脅威アクター自身のコード署名で署名された改ざんされたアプリケーションバンドルを含む.dmgディスクイメージを介してマルウェアを配布しました。この特定の方法により、ZuRuはmacOSのコード署名制限を回避することができます。

報告書は、ZuRuが感染したシステムを遠隔操作するためのオープンソースツールキットであるKhepriの改良版を使用していることに言及しています。このマルウェアは、外部サーバーからコマンドを取得するために設計されたローダーを含む追加の実行可能ファイルをインストールします。*「ZuRuマルウェアは、正当なビジネスツールを求めるmacOSユーザーを引き続き標的にし、ターゲットにバックドアを仕掛けるためにローダーとC2技術を適応させています。」*と研究者のフィル・ストークスとディネシュ・デヴァドスが述べました。

2021年9月に初めて文書化されたZuRuは、iTerm2などの人気のあるMacツールに関連する検索をハイジャックすることで知られていました。これは、ユーザーを偽のウェブサイトに誘導し、マルウェアに感染したファイルをダウンロードさせるものでした。2024年1月、Jamf Threat LabsはZuRuを、隠されたマルウェアと共に配布されたMicrosoftのMac用リモートデスクトップ、SecureCRT、Navicatなどの海賊版アプリに関連付けました。

最近のバリアントは、アプリ内での隠れ方を変更しています。悪意のあるアドオンでメイン実行ファイルを修正する代わりに、攻撃者はヘルパーアプリケーション内に脅威を埋め込んでいます。この調整は、従来のマルウェア検出を回避することを目的としているようです。ローダーは既存のマルウェアの存在を確認し、その整合性を検証し、不一致が見つかった場合は更新をダウンロードします。

Khepriツールの機能には、ファイル転送、システム監視、プログラムの実行、出力のキャプチャが含まれており、すべてリモートサーバーを介して制御されています。研究者たちは、攻撃者が開発者やIT専門家によく使われるツールをトロイの木馬化することに焦点を当てていると指摘しています。また、妥協したシステムに対する支配を維持するために、持続モジュールやビーコニング手法などの技術にも依存しています。詳細な分析については、SentinelOneの詳細な分析を参照してください。

####前の記事:

• ビットコインが11万1千ドルに達する：小売投資家が戻ってきている4つの兆候
• SDXとピクテ、債券のトークン化とフラクショナル化のパイロットを完了
• ラトビア、企業が株式資本に暗号通貨を使用することを許可
• オーストラリア、主要銀行との24のトークン化された資産パイロットを承認
• ドージコインは2030年までに$0.50まで177%上昇する可能性があるとアナリストは予測している

-広告-