Новий шкідливий ПЗ ZuRu для MacOS поширюється через троянські бізнес-додатки

ГоловнаНовини* Дослідники виявили нову активність із шкідливого програмного забезпечення ZuRu для macOS наприкінці травня 2025 року.

• ZuRu маскується під легітимне програмне забезпечення, включаючи клієнт SSH Termius, щоб інфікувати комп'ютери Mac.
• Шкідливе ПЗ використовує модифікований відкритий набір інструментів під назвою Khepri для віддаленого доступу та контролю.
• Зловмисники поширюють ZuRu переважно через тройняті додатки, які знаходять за допомогою спонсорованих веб-пошуків.
• Останні зміни показують, що шкідливе програмне забезпечення тепер використовує нові методи для обходу безпеки в системах macOS. Експерти з кібербезпеки виявили нові ознаки ZuRu, шкідливого програмного забезпечення, що впливає на macOS від Apple, у травні 2025 року. Шкідливе ПЗ поширюється, імітуючи популярні бізнес- і ІТ-менеджерські програми, націлюючись на користувачів через змінені файли встановлення. Остання поява ZuRu пов'язана з імітацією SSH-клієнта та інструменту управління сервером Termius.

• Реклама - Згідно з доповіддю SentinelOne, дослідники спостерігали, як ZuRu використовує підроблену версію Termius. Зловмисники доставили шкідливе програмне забезпечення через образ диска .dmg, який містив підроблений пакет додатків, підписаний власним кодом зловмисника. Цей конкретний метод дозволяє ZuRu обійти обмеження підписування коду macOS.

У звіті зазначається, що ZuRu використовує модифіковану версію Khepri, відкритого інструменту, який дозволяє зловмисникам віддалено контролювати заражені системи. Шкідливе ПЗ встановлює додаткові виконувані файли, включаючи завантажувач, призначений для отримання команд з зовнішнього сервера. “Шкідливе ПЗ ZuRu продовжує полювати на користувачів macOS, які шукають законні бізнес-інструменти, адаптуючи свій завантажувач та C2 техніки для створення бекдорів для своїх цілей,” зазначили дослідники Філ Стокс і Дінеш Деватосс.

Перший раз задокументований у вересні 2021 року, ZuRu був відомий тим, що викрадав пошукові запити, пов'язані з популярними інструментами для Mac, такими як iTerm2. Він перенаправляв користувачів на фальшиві вебсайти, що призводило до завантаження файлів з вірусами. У січні 2024 року Jamf Threat Labs пов'язали ZuRu з піратськими додатками, включаючи віддалений робочий стіл Microsoft для Mac, SecureCRT і Navicat, всі з яких розповсюджувалися з прихованим шкідливим ПЗ.

Недавній варіант змінює спосіб, яким він ховається в додатках. Замість того, щоб модифікувати основний виконуваний файл з шкідливим доповненням, зловмисники тепер вбудовують загрозу всередину допоміжного додатку. Це коригування, здається, має на меті уникнути традиційного виявлення шкідливого ПЗ. Завантажувач перевіряє наявність існуючого шкідливого ПЗ, підтверджує його цілісність і завантажує оновлення, якщо виявлено невідповідність.

Особливості інструмента Khepri включають передачу файлів, моніторинг системи, виконання програм і захоплення виходу, все це контролюється через віддалений сервер. Дослідники зазначають, що зловмисники зосереджуються на тройанізації інструментів, які часто використовуються розробниками та ІТ-фахівцями. Вони також покладаються на такі техніки, як модулі постійного доступу та методи маячків, щоб підтримувати контроль над скомпрометованими системами. Більше інформації можна знайти в детальному аналізі SentinelOne.

Попередні статті:

• Біткойн досяг $111K: 4 ознаки повернення роздрібних інвесторів
• SDX та Pictet завершили пілотний проєкт з токенізації та дроблення облігацій
• Латвія дозволяє компаніям використовувати криптовалюту для статутного капіталу
• Австралія затвердила 24 пілотні проекти токенізованих активів з основними банками
• Аналітики прогнозують, що Dogecoin може зрости на 177% до $0,50 до 2030 року

• Реклама -