Новый вредоносный софт ZuRu для MacOS распространяется через троянские бизнес-приложения

ГлавнаяНовости* Исследователи выявили новую активность вредоносного ПО ZuRu для macOS в конце мая 2025 года.

• ZuRu маскируется под легитимное программное обеспечение, включая клиент SSH Termius, чтобы заразить компьютеры Mac.
• Вредоносное ПО использует модифицированный набор инструментов с открытым исходным кодом под названием Khepri для удаленного доступа и управления.
• Злоумышленники распространяют ZuRu в основном через троянские приложения, найденные с помощью спонсируемых веб-поисков.
• Недавние изменения показывают, что вредоносное ПО теперь использует новые методы для обхода безопасности на системах macOS. Эксперты по кибербезопасности в мае 2025 года обнаружили новые признаки ZuRu, вредоносного ПО, атакующего macOS от Apple. Вредоносное ПО распространяется, имитируя популярные приложения для бизнеса и управления ИТ, нацеливаясь на пользователей через измененные установочные файлы. Последнее появление ZuRu связано с подделкой SSH-клиента и инструмента управления сервером Termius.

• Реклама - Согласно отчету от SentinelOne, исследователи наблюдали, как ZuRu использует поддельную версию Termius. Злоумышленники доставили вредоносное ПО через образ диска .dmg, который содержал модифицированный пакет приложения, подписанный собственным кодом злоумышленника. Этот метод позволяет ZuRu обходить ограничения подписывания кода macOS.

В отчете отмечается, что ZuRu использует модифицированную версию Khepri, открытого инструментария, который позволяет злоумышленникам удаленно управлять зараженными системами. Вредоносное ПО устанавливает дополнительные исполняемые файлы, включая загрузчик, предназначенный для получения команд с внешнего сервера. "Вредоносное ПО ZuRu продолжает охотиться на пользователей macOS, ищущих легитимные бизнес-инструменты, адаптируя свой загрузчик и методы C2 для создания задней двери в своих целях," заявили исследователи Фил Стокс и Динеш Девадосс.

Первый раз документирован в сентябре 2021 года, ZuRu был известен тем, что перехватывал поисковые запросы, связанные с популярными инструментами Mac, такими как iTerm2. Он перенаправлял пользователей на поддельные веб-сайты, заставляя их загружать файлы с вредоносным ПО. В январе 2024 года Jamf Threat Labs связали ZuRu с пиратскими приложениями, включая удаленный рабочий стол Microsoft для Mac, SecureCRT и Navicat, все из которых распространялись с скрытым вредоносным ПО.

Недавний вариант изменяет способ, которым он скрывается в приложениях. Вместо модификации основного исполняемого файла с помощью вредоносного дополнения, злоумышленники теперь встраивают угрозу в вспомогательное приложение. Эта корректировка, похоже, направлена на избежание традиционного обнаружения вредоносного ПО. Загрузчик проверяет наличие существующего вредоносного ПО, проверяет его целостность и загружает обновления, если обнаружено несоответствие.

Функции инструмента Khepri включают в себя передачу файлов, мониторинг систем, запуск программ и захват вывода, все это контролируется через удаленный сервер. Исследователи отмечают, что злоумышленники сосредоточены на троянах инструментов, обычно используемых разработчиками и ИТ-специалистами. Они также полагаются на такие методы, как модули постоянства и методы сигнальной передачи, чтобы удерживать контроль над скомпрометированными системами. Более подробную информацию можно найти в детальном анализе компании SentinelOne.

Предыдущие статьи:

• Биткойн достиг $111K: 4 признака того, что розничные инвесторы возвращаются
• SDX и Pictet завершили пилотный проект по токенизации и фракционированию облигаций
• Латвия разрешает компаниям использовать криптовалюту для уставного капитала
• Австралия одобрила 24 пилотных проекта токенизированных активов с крупными банками
• Аналитики предсказывают, что Dogecoin может вырасти на 177% до $0.50 к 2030 году

• Реклама -