新的ZuRu MacOS恶意软件通过被特洛伊木马化的商业应用传播

首页新闻* 研究人员在2025年5月底发现了ZuRu macOS恶意软件的新活动。

• ZuRu伪装成合法软件，包括Termius SSH客户端，以感染Mac计算机。
• 该恶意软件使用一个名为Khepri的修改版开源工具包进行远程访问和控制。
• 攻击者主要通过在赞助的网络搜索中发现的木马应用程序分发ZuRu。
• 最近的变化显示该恶意软件现在使用新方法来绕过macOS系统的安全性。 网络安全专家在2025年5月发现了ZuRu的新迹象，这是一种影响苹果macOS的恶意软件。该恶意软件通过模仿流行的商业和IT管理应用程序传播，通过更改的安装文件针对用户。ZuRu的最新出现涉及模仿SSH客户端和服务器管理工具Termius。

• 广告 - 根据 SentinelOne 的报告，研究人员观察到 ZuRu 使用了一个伪造的 Termius 版本。攻击者通过一个包含篡改过的应用程序包的 .dmg 磁盘映像交付了恶意软件，该应用程序包使用了威胁行为者自己的代码签名。这种特定方法使 ZuRu 能够绕过 macOS 的代码签名限制。

报告指出，ZuRu使用了一种修改版的Khepri，这是一种开源工具包，允许攻击者远程控制感染的系统。该恶意软件安装额外的可执行文件，包括一个设计用来从外部服务器获取命令的加载程序。“ZuRu恶意软件继续侵害寻求合法商业工具的macOS用户，调整其加载程序和C2技术以便于后门攻击目标，” 研究人员Phil Stokes和Dinesh Devadoss表示。

ZuRu首次在2021年9月被记录，已知会劫持与流行的Mac工具如iTerm2相关的搜索。它将用户引导至假网站，导致他们下载感染恶意软件的文件。在2024年1月，Jamf Threat Labs将ZuRu与盗版应用程序联系在一起，包括微软的Mac远程桌面、SecureCRT和Navicat，这些应用程序均隐藏着恶意软件。

最近的变种改变了它在应用程序中隐藏的方式。攻击者现在将威胁嵌入到辅助应用程序中，而不是通过恶意附加组件修改主可执行文件。这一调整似乎旨在规避传统的恶意软件检测。加载程序检查现有恶意软件的存在，验证其完整性，并在发现不匹配时下载更新。

Khepri工具的功能包括文件传输、系统监控、运行程序和捕获输出，所有这些都通过远程服务器控制。研究人员注意到攻击者专注于对开发人员和IT专业人员常用的工具进行木马化。他们还依赖于持久性模块和信标方法等技术来维持对被攻击系统的控制。更多信息可以在SentinelOne的详细分析中找到。

之前的文章：

• 比特币达到11.1万美元：散户投资者回归的4个迹象
• SDX和Pictet完成债券代币化和分割试点
• 拉脱维亚允许公司使用加密货币作为股本
• 澳大利亚批准与主要银行的24个代币化资产试点项目
• 分析师预测，到2030年，狗狗币可能飙升177%，达到0.50美元

• 广告 -