Cybersecurity -onderzoekers hebben nieuwe artefacten ontdekt die zijn geassocieerd met een Apple MacOS -malware genaamd Zuru, waarvan bekend is dat het zich verspreidt via Trojanised -versies van legitieme software.
Sentinelone, in een nieuw rapport dat wordt gedeeld met het Hacker News, zei dat de malware is waargenomen als de cross -platform SSH -client en serverbeheer Tool Termius eind mei 2025.
“Zuru Malware blijft jagen op macOS -gebruikers die op zoek zijn naar legitieme zakelijke tools, en zijn lader- en C2 -technieken aan te passen om zijn doelen te achterdeuren,” zeiden onderzoekers Phil Stokes en Dinesh Devadoss.
Zuru werd voor het eerst gedocumenteerd in september 2021 door een gebruiker op de Chinese vraag-en-antwoordwebsite Zhihu als onderdeel van een kwaadaardige campagne die zoekopdrachten naar ITERM2 kaapte, een legitieme MacOS-terminal-app, om gebruikers te laten nep sites om sites te nep die sites nep sites die sites nep sites die niet-vermensvuldige gebruikers bedroegen om de malware te downloaden.
Toen in januari 2024 zei JAMF Threat Labs dat het een stuk malware ontdekte dat werd gedistribueerd via illegale macOS -apps die overeenkomsten met Zuru deelden. Sommige van de andere populaire software die is getroffen om de malware te leveren, zijn Microsoft’s Remote Desktop voor Mac, samen met SecureCrt en Navicat.
Het feit dat Zuru voornamelijk vertrouwt op gesponsorde webzoekopdrachten naar distributie, geeft aan dat de dreigingsacteurs achter de malware opportunistischer zijn dan gericht in hun aanvallen, terwijl ook ervoor zorgen dat alleen degenen die op zoek zijn naar externe verbindingen en databasebeheer zijn aangetast.
Net als de monsters gedetailleerd door JAMF, gebruiken de nieuw ontdekte Zuru-artefacten een gewijzigde versie van de open-source post-exploitatie toolkit bekend als KHEPRI om aanvallers in staat te stellen afstandsbediening te krijgen over geïnfecteerde hosts.
“De malware wordt geleverd via een .DMG -schijfafbeelding en bevat een gehackte versie van de echte Termius.App,” zeiden de onderzoekers. “Sinds de applicatiebundel binnen de schijfafbeelding is gewijzigd, hebben de aanvallers de handtekening van de ontwikkelaar vervangen door hun eigen ad hoc -handtekening om de ondertekeningregels van macOS -codes door te geven.”
The altered app packs in two extra executables within Termius Helper.app, a loader named “.localized” that’s designed to download and launch a Khepri command-and-control (C2) beacon from an external server (“download.termius(.)info”) and “.Termius Helper1,” which is a renamed version of the actual Termius Helper app.
“Terwijl het gebruik van Khepri werd gezien in eerdere versies van Zuru, varieert dit middel om een legitieme toepassing te trojaniseren, af van de eerdere techniek van de dreigingsacteur,” legden de onderzoekers uit.
“In oudere versies van Zuru hebben de malware -auteurs het uitvoerbare bestand van de hoofdbundel gewijzigd door een extra laadopdracht toe te voegen die verwijst naar een externe .dylib, waarbij de dynamische bibliotheek functioneert als de lader voor de khepri -achterdeur en persistentiemodules.”
Naast het downloaden van het khepri-baken, is de lader ontworpen om persistentie op de host in te stellen en te controleren of de malware al aanwezig is op een vooraf gedefinieerd pad in het systeem en in dienst is (“/tmp/.fseventsd”) en indien dit dit geval is, vergelijkt de md5-hasj-waarde van de payload van de payload die is gehost op de server.
Een nieuwe versie wordt vervolgens gedownload als de hashwaarden niet overeenkomen. Er wordt aangenomen dat de functie waarschijnlijk dient als een updatemechanisme om nieuwe versies van de malware op te halen zodra deze beschikbaar komen. Maar Sentinelone theoretiseerde ook dat het een manier zou kunnen zijn om ervoor te zorgen dat de payload niet is beschadigd of gewijzigd nadat deze was gevallen.
De gemodificeerde KHEPRI-tool is een C2-implantaat met een functie waarmee bestandsoverdracht, systeemverkenning, procesuitvoering en -controle en opdrachtuitvoering met uitvoeringsopname mogelijk is. De C2 -server die wordt gebruikt om met het baken te communiceren is “CTL01.termius (.) Fun.”
“De nieuwste variant van macOS.zuru zet het patroon van de dreigingsacteur voort om legitieme macOS -toepassingen te trojaniseren die door ontwikkelaars en IT -professionals worden gebruikt,” zeiden de onderzoekers.
“De verschuiving in techniek van Dylib -injectie naar het toeriseren van een ingebedde helpertoepassing is waarschijnlijk een poging om bepaalde soorten detectielogica te omzeilen. Toch suggereert het voortdurende gebruik van de acteur van bepaalde TTP’s – van keuze van doeltoepassingen en domeinnaampatronen voor het hergebruik van bestandsnamen, doorzettingsvermogen en beaondemethoden – het aanbieden van doorgaande succes in de omgeving.”
