Nouveau malware ZuRu MacOS se propage via des applications professionnelles trojanisées

AccueilActualités* Les chercheurs ont identifié une nouvelle activité du malware ZuRu pour macOS à la fin mai 2025.

• ZuRu se déguise en logiciel légitime, y compris le client SSH Termius, pour infecter les ordinateurs Mac.
• Le malware utilise un kit d'outils open-source modifié appelé Khepri pour l'accès et le contrôle à distance.
• Les attaquants distribuent ZuRu principalement par le biais d'applications trojanisées trouvées via des recherches web sponsorisées.
• Des changements récents montrent que le logiciel malveillant utilise désormais de nouvelles méthodes pour contourner la sécurité sur les systèmes macOS. Des experts en cybersécurité ont détecté de nouveaux signes de ZuRu, un malware affectant macOS d'Apple, en mai 2025. Le malware se propage en imitant des applications populaires de gestion des affaires et des TI, ciblant les utilisateurs via des fichiers d'installation modifiés. La dernière apparition de ZuRu implique l'imitation du client SSH et de l'outil de gestion de serveur Termius.

• Publicité - Selon un rapport de SentinelOne, des chercheurs ont observé ZuRu utilisant une version falsifiée de Termius. Les attaquants ont livré le logiciel malveillant via une image disque .dmg, qui comprenait un bundle d'application modifié signé avec la propre signature de code de l'acteur de la menace. Cette méthode particulière permet à ZuRu de contourner les restrictions de signature de code de macOS.

Le rapport note que ZuRu utilise une version modifiée de Khepri, un ensemble d'outils open-source qui permet aux attaquants de contrôler à distance des systèmes infectés. Le malware installe des exécutables supplémentaires, y compris un chargeur conçu pour récupérer des commandes d'un serveur externe. « Le malware ZuRu continue de s'attaquer aux utilisateurs de macOS à la recherche d'outils commerciaux légitimes, adaptant son chargeur et ses techniques C2 pour introduire des portes dérobées dans ses cibles », ont déclaré les chercheurs Phil Stokes et Dinesh Devadoss.

Documenté pour la première fois en septembre 2021, ZuRu était connu pour détourner les recherches liées à des outils Mac populaires comme iTerm2. Il dirigeait les utilisateurs vers de faux sites Web, les amenant à télécharger des fichiers infectés par des logiciels malveillants. En janvier 2024, Jamf Threat Labs a lié ZuRu à des applications piratées, y compris le Bureau à distance de Microsoft pour Mac, SecureCRT et Navicat, tous distribués avec des logiciels malveillants cachés.

La récente variante change la façon dont elle se cache dans les applications. Au lieu de modifier l'exécutable principal avec un add-on malveillant, les attaquants intègrent désormais la menace à l'intérieur d'une application d'aide. Cet ajustement semble viser à éviter la détection traditionnelle des logiciels malveillants. Le chargeur vérifie la présence de logiciels malveillants existants, vérifie son intégrité et télécharge des mises à jour si une incohérence est trouvée.

Les fonctionnalités de l'outil Khepri incluent les transferts de fichiers, la surveillance système, l'exécution de programmes et la capture de sortie, le tout contrôlé via un serveur distant. Les chercheurs notent que les attaquants se concentrent sur la trojanisation d'outils couramment utilisés par les développeurs et les professionnels de l'informatique. Ils s'appuient également sur des techniques telles que les modules de persistance et les méthodes de signalisation pour maintenir leur emprise sur les systèmes compromis. Plus d'informations peuvent être trouvées dans l'analyse détaillée de SentinelOne.

Articles Précédents :

• Bitcoin atteint 111 000 $ : 4 signes que les investisseurs particuliers reviennent
• SDX et Pictet terminent le pilote pour tokeniser et fractionner les obligations
• La Lettonie autorise les entreprises à utiliser des cryptomonnaies pour le capital social
• L'Australie approuve 24 projets pilotes d'actifs tokenisés avec de grandes banques
• Dogecoin pourrait augmenter de 177 % pour atteindre 0,50 $ d'ici 2030, prédisent les analystes

• Publicité -