Ana SayfaHaberler* Araştırmacılar, Mayıs 2025'in sonlarında ZuRu macOS Kötü Amaçlı Yazılımından yeni bir faaliyet tespit etti.
ZuRu, Mac bilgisayarlarını enfekte etmek için Termius SSH istemcisi de dahil olmak üzere meşru yazılım olarak kendini gizler.
Kötü amaçlı yazılım, uzaktan erişim ve kontrol için Khepri adlı değiştirilmiş bir açık kaynak araç seti kullanıyor.
Saldırganlar, ZuRu'yu esas olarak sponsorlu web aramalarında bulunan trojanlı uygulamalar aracılığıyla dağıtıyor.
Son değişiklikler, kötü amaçlı yazılımın artık macOS sistemlerinde güvenliği aşmak için yeni yöntemler kullandığını gösteriyor.
Siber güvenlik uzmanları, Mayıs 2025'te Apple'ın macOS'unu etkileyen ZuRu adlı kötü amaçlı yazılımın yeni belirtilerini tespit etti. Kötü amaçlı yazılım, popüler iş ve BT yönetim uygulamalarını taklit ederek yayılmakta, kullanıcıları değiştirilmiş kurulum dosyaları aracılığıyla hedef almaktadır. ZuRu'nun en son görünümü, SSH istemcisi ve sunucu yönetim aracı Termius'u taklit etmeyi içermektedir.
Reklam - SentinelOne'dan gelen bir rapora göre, araştırmacılar ZuRu'nun Termius'un sahte bir versiyonunu kullandığını gözlemlediler. Saldırganlar, tehdit aktörünün kendi kod imzasıyla imzalanmış değiştirilmiş bir uygulama paketi içeren bir .dmg disk görüntüsü aracılığıyla kötü amaçlı yazılımı dağıttılar. Bu özel yöntem, ZuRu'nun macOS kod imzalama kısıtlamalarını aşmasına olanak tanır.
Rapor, ZuRu'nun saldırganların enfekte sistemleri uzaktan kontrol etmelerini sağlayan açık kaynaklı bir araç seti olan Khepri'nin değiştirilmiş bir versiyonunu kullandığını belirtmektedir. Kötü amaçlı yazılım, dış bir sunucudan komut almak için tasarlanmış bir yükleyici de dahil olmak üzere ekstra çalıştırılabilir dosyalar yükler. “ZuRu kötü amaçlı yazılımı, meşru iş araçları arayan macOS kullanıcılarını avlamaya devam ediyor, hedeflerini arka kapı ile ele geçirmek için yükleyicisini ve C2 tekniklerini uyarlıyor,” araştırmacılar Phil Stokes ve Dinesh Devadoss belirtti.
Eylül 2021'de ilk kez belgelenen ZuRu, iTerm2 gibi popüler Mac araçlarıyla ilgili aramaları ele geçirdiği biliniyordu. Kullanıcıları sahte web sitelerine yönlendirdi ve onları kötü amaçlı yazılımlar içeren dosyaları indirmeye zorladı. Ocak 2024'te Jamf Threat Labs, ZuRu'yu Microsoft'un Mac için Uzak Masaüstü, SecureCRT ve Navicat gibi korsan uygulamalarla bağlantılı hale getirdi; bunların hepsi gizli kötü amaçlı yazılımlarla dağıtıldı.
Son varyant, uygulamalar içinde nasıl gizlendiğini değiştiriyor. Kötü niyetli bir eklenti ile ana çalıştırılabilir dosyayı değiştirmek yerine, saldırganlar şimdi tehditi bir yardımcı uygulamanın içine yerleştiriyor. Bu ayarlama, geleneksel kötü amaçlı yazılım tespitinden kaçınmayı hedefliyor gibi görünüyor. Yükleyici, mevcut kötü amaçlı yazılımın varlığını kontrol ediyor, bütünlüğünü doğruluyor ve bir uyumsuzluk bulunursa güncellemeleri indiriyor.
Khepri aracının özellikleri arasında dosya transferleri, sistem izleme, program çalıştırma ve çıktı yakalama yer almaktadır; tümü uzaktan bir sunucu aracılığıyla kontrol edilmektedir. Araştırmacılar, saldırganların geliştiriciler ve BT profesyonelleri tarafından yaygın olarak kullanılan araçları truva atı haline getirmeye odaklandığını belirtmektedir. Ayrıca, ele geçirilmiş sistemlerdeki kontrollerini sürdürmek için kalıcılık modülleri ve sinyal gönderme yöntemleri gibi tekniklere de güvenmektedirler. Daha fazla bilgi, SentinelOne'ın ayrıntılı analizinde bulunabilir.
Önceki Makaleler:
Bitcoin 111K Doları Geçti: Perakende Yatırımcıların Geri Döndüğüne Dair 4 İşaret
SDX ve Pictet, Tahvilleri Tokenleştirmek ve Parçalamak için Pilot Uygulamasını Tamamladı
Letonya, Şirketlerin Sermaye Payı Olarak Kripto Para Kullanmasına İzin Veriyor
Avustralya, Büyük Bankalarla 24 Tokenleştirilmiş Varlık Pilotunu Onayladı
Dogecoin'un 2030'a kadar %177 artarak 0,50 $'a yükselebileceği tahmin ediliyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Yeni ZuRu MacOS Kötü Amaçlı Yazılımı Trojanlaştırılmış İş Uygulamaları Aracılığıyla Yayılıyor
Ana SayfaHaberler* Araştırmacılar, Mayıs 2025'in sonlarında ZuRu macOS Kötü Amaçlı Yazılımından yeni bir faaliyet tespit etti.
Rapor, ZuRu'nun saldırganların enfekte sistemleri uzaktan kontrol etmelerini sağlayan açık kaynaklı bir araç seti olan Khepri'nin değiştirilmiş bir versiyonunu kullandığını belirtmektedir. Kötü amaçlı yazılım, dış bir sunucudan komut almak için tasarlanmış bir yükleyici de dahil olmak üzere ekstra çalıştırılabilir dosyalar yükler. “ZuRu kötü amaçlı yazılımı, meşru iş araçları arayan macOS kullanıcılarını avlamaya devam ediyor, hedeflerini arka kapı ile ele geçirmek için yükleyicisini ve C2 tekniklerini uyarlıyor,” araştırmacılar Phil Stokes ve Dinesh Devadoss belirtti.
Eylül 2021'de ilk kez belgelenen ZuRu, iTerm2 gibi popüler Mac araçlarıyla ilgili aramaları ele geçirdiği biliniyordu. Kullanıcıları sahte web sitelerine yönlendirdi ve onları kötü amaçlı yazılımlar içeren dosyaları indirmeye zorladı. Ocak 2024'te Jamf Threat Labs, ZuRu'yu Microsoft'un Mac için Uzak Masaüstü, SecureCRT ve Navicat gibi korsan uygulamalarla bağlantılı hale getirdi; bunların hepsi gizli kötü amaçlı yazılımlarla dağıtıldı.
Son varyant, uygulamalar içinde nasıl gizlendiğini değiştiriyor. Kötü niyetli bir eklenti ile ana çalıştırılabilir dosyayı değiştirmek yerine, saldırganlar şimdi tehditi bir yardımcı uygulamanın içine yerleştiriyor. Bu ayarlama, geleneksel kötü amaçlı yazılım tespitinden kaçınmayı hedefliyor gibi görünüyor. Yükleyici, mevcut kötü amaçlı yazılımın varlığını kontrol ediyor, bütünlüğünü doğruluyor ve bir uyumsuzluk bulunursa güncellemeleri indiriyor.
Khepri aracının özellikleri arasında dosya transferleri, sistem izleme, program çalıştırma ve çıktı yakalama yer almaktadır; tümü uzaktan bir sunucu aracılığıyla kontrol edilmektedir. Araştırmacılar, saldırganların geliştiriciler ve BT profesyonelleri tarafından yaygın olarak kullanılan araçları truva atı haline getirmeye odaklandığını belirtmektedir. Ayrıca, ele geçirilmiş sistemlerdeki kontrollerini sürdürmek için kalıcılık modülleri ve sinyal gönderme yöntemleri gibi tekniklere de güvenmektedirler. Daha fazla bilgi, SentinelOne'ın ayrıntılı analizinde bulunabilir.
Önceki Makaleler: