新的ZuRu MacOS惡意軟件通過被特洛伊木馬化的商業應用傳播

2025-07-10 12:11:12

首頁新聞* 研究人員在2025年5月底發現了ZuRu macOS惡意軟件的新活動。

ZuRu僞裝成合法軟件，包括Termius SSH客戶端，以感染Mac計算機。
該惡意軟件使用一個名爲Khepri的修改版開源工具包進行遠程訪問和控制。
攻擊者主要通過在贊助的網路搜索中發現的木馬應用程序分發ZuRu。
最近的變化顯示該惡意軟件現在使用新方法來繞過macOS系統的安全性。網路安全專家在2025年5月發現了ZuRu的新跡象，這是一種影響蘋果macOS的惡意軟件。該惡意軟件通過模仿流行的商業和IT管理應用程序傳播，通過更改的安裝文件針對用戶。ZuRu的最新出現涉及模仿SSH客戶端和服務器管理工具Termius。

廣告 - 根據 SentinelOne 的報告，研究人員觀察到 ZuRu 使用了一個僞造的 Termius 版本。攻擊者通過一個包含篡改過的應用程序包的 .dmg 磁盤映像交付了惡意軟件，該應用程序包使用了威脅行爲者自己的代碼籤名。這種特定方法使 ZuRu 能夠繞過 macOS 的代碼籤名限制。

報告指出，ZuRu使用了一種修改版的Khepri，這是一種開源工具包，允許攻擊者遠程控制感染的系統。該惡意軟件安裝額外的可執行文件，包括一個設計用來從外部服務器獲取命令的加載程序。“ZuRu惡意軟件繼續侵害尋求合法商業工具的macOS用戶，調整其加載程序和C2技術以便於後門攻擊目標，” 研究人員Phil Stokes和Dinesh Devadoss表示。

ZuRu首次在2021年9月被記錄，已知會劫持與流行的Mac工具如iTerm2相關的搜索。它將用戶引導至假網站，導致他們下載感染惡意軟件的文件。在2024年1月，Jamf Threat Labs將ZuRu與盜版應用程序聯繫在一起，包括微軟的Mac遠程桌面、SecureCRT和Navicat，這些應用程序均隱藏着惡意軟件。

最近的變種改變了它在應用程序中隱藏的方式。攻擊者現在將威脅嵌入到輔助應用程序中，而不是通過惡意附加組件修改主可執行文件。這一調整似乎旨在規避傳統的惡意軟件檢測。加載程序檢查現有惡意軟件的存在，驗證其完整性，並在發現不匹配時下載更新。

Khepri工具的功能包括文件傳輸、系統監控、運行程序和捕獲輸出，所有這些都通過遠程服務器控制。研究人員注意到攻擊者專注於對開發人員和IT專業人員常用的工具進行木馬化。他們還依賴於持久性模塊和信標方法等技術來維持對被攻擊系統的控制。更多信息可以在SentinelOne的詳細分析中找到。