Los investigadores de ciberseguridad han descubierto un nuevo artefacto relacionado con el malware Apple MacOS llamado Zuru.
Sentinelone dijo en un nuevo informe compartido con Hacker News que se ha observado que el malware se ha embellecido en la herramienta de administración de clientes y servidores de SSH de plataforma multiplataforma Termius a fines de mayo de 2025.
«El malware de Zuru continúa atrayendo a los usuarios de macOS que buscan herramientas comerciales legítimas y las adapta para organizar cargadores y técnicas C2», dijeron los investigadores Phil Stokes y Dinesh Devadoss.
Zuru se documentó por primera vez en septiembre de 2021 como parte de una campaña maliciosa en la que los usuarios del sitio web de preguntas y respuestas de China Zhihu secuestraron la aplicación legítima del dispositivo MacOS Iterm2, así como instruyeron a los sitios que forjan sitios que están engañando a los usuarios que no sospechan a los usuarios.
Luego, en enero de 2024, Jamf Amenazas Labs dijo que había descubierto algunos de los malware distribuidos a través de aplicaciones de MacOS pirateados que comparten similitudes con Zuru. Otro software popular que se remonta a malware incluye el escritorio remoto de Microsoft para Mac, Securecrt y Navicat.
El hecho de que Zuru se basa principalmente en las búsquedas web patrocinadas para distribuciones indica que los actores de amenaza detrás del malware son más oportunistas que atacados en los ataques.
Similar a la muestra detallada por JAMF, el artefacto de Zuru recientemente descubierto utiliza una versión modificada del conjunto de herramientas post-explosión post-abre conocido como Khepri para permitir a los atacantes obtener el control remoto de los hosts infectados.
«El malware se entrega a través de imágenes de disco .dmg e incluye la versión pirateada del Real Termius.App», dijo el investigador. «Debido a que el paquete de aplicaciones en la imagen del disco se ha cambiado, el atacante reemplazó la firma del código del desarrollador con su propia firma ad hoc para aprobar reglas de firma del código MACOS».
La aplicación que se ha cambiado a dos ejecutables adicionales en Termius Helper.App está «localizado» nombrado «.localizado», diseñado para descargar y lanzar Beacons de Khepri Command and Control (C2) desde un servidor externo («download.termius (.) Info») y «.termius Helper1».
«El uso de KEPRI se vio en versiones anteriores de Zuru, pero esta medida de aplicaciones legales de Troilización es diferente de las técnicas anteriores de actores de amenazas», explicaron los investigadores.
«En versiones anteriores de Zuru, el autor de malware modificó el ejecutable en el paquete principal agregando un comando de carga adicional que hace referencia a un .dylib externo.
Además de descargar Khepri Beacons, el cargador está diseñado para configurar la persistencia en el host, verificando si el malware ya existe en una ruta predefinida en el sistema («/tmp/.fseventsd»).
Si los valores hash no coinciden, la nueva versión se descargará más adelante. Es probable que esta característica sirva como un mecanismo de actualización para obtener versiones más nuevas de la nueva versión a medida que el malware está disponible. Sin embargo, Sentinelone podría ser una forma de garantizar que la carga útil no esté dañada o alterada después de haber sido eliminada.
La herramienta KHEPRI modificada es un implante C2 lleno de características que permite la transferencia de archivos, el reconocimiento del sistema, la ejecución y el control del proceso, y la ejecución de comandos a través de la captura de salida. El servidor C2 utilizado para comunicarse con la baliza es «CTL01.Termius (.) Diversión».
«La última variante de MacOS.Zuru continúa el patrón de actores de amenaza que trota las aplicaciones legítimas de MacOS utilizadas por los desarrolladores y los profesionales de TI», dijeron los investigadores.
«El cambio en las técnicas desde la inyección de Dilib hasta las aplicaciones auxiliares integradas de Troilering podría ser un intento de evitar ciertos tipos de lógica de detección. Aún así, sugiere que los actores continúan utilizando TTP específicos, proporcionando éxito en la protección continua del punto final de la aplicación de la aplicación del objetivo y la selección de nombres de dominio, la reutilización de nombres de archivo, la persistencia y los métodos BEACON.
Source link
