Κυβερνοασφάλεια
Νέα παραλλαγή κακόβουλου λογισμικού ZuRu απειλεί χρήστες macOS μέσω της εφαρμογής Termius
Νέα παραλλαγή κακόβουλου λογισμικού ZuRu στοχεύει χρήστες macOS μέσω παραποιημένης εφαρμογής Termius, με εξελιγμένες τακτικές επίθεσης.
Η εξέλιξη της απειλής ZuRu
Η τελευταία παραλλαγή του κακόβουλου λογισμικού macOS.ZuRu έχει κάνει την εμφάνισή της, στοχεύοντας χρήστες macOS μέσω μιας παραποιημένης έκδοσης της δημοφιλούς εφαρμογής Termius, που χρησιμοποιείται για SSH συνδέσεις. Αυτή η νέα εξέλιξη, που ανακαλύφθηκε στα τέλη Μαΐου 2025, δείχνει μια σημαντική αλλαγή στις τακτικές των απειλητικών παραγόντων, οι οποίοι πλέον προχωρούν πέρα από τις παραδοσιακές καμπάνιες δηλητηρίασης μηχανών αναζήτησης και επιτίθενται άμεσα σε νόμιμες εφαρμογές που χρησιμοποιούνται από προγραμματιστές και επαγγελματίες πληροφορικής.
Ιστορικό και στόχοι του κακόβουλου λογισμικού
Η οικογένεια κακόβουλου λογισμικού ZuRu έκανε την πρώτη της εμφάνιση τον Ιούλιο του 2021, όταν ένας Κινέζος blogger εντόπισε παραποιημένες εκδόσεις δημοφιλών εργαλείων macOS που διανέμονταν μέσω δηλητηριασμένων αποτελεσμάτων αναζήτησης. Αρχικά, στόχευε εφαρμογές όπως το iTerm2, το SecureCRT και το Microsoft Remote Desktop, εστιάζοντας σε εργαλεία που χρησιμοποιούνται συχνά από προγραμματιστές backend και διαχειριστές συστημάτων που απαιτούν SSH και δυνατότητες απομακρυσμένης σύνδεσης.
Τεχνικές βελτιώσεις και νέες μέθοδοι επίθεσης
Οι ερευνητές της SentinelOne αναγνώρισαν αυτή τη νέα παραλλαγή στο πλαίσιο της συνεχιζόμενης παρακολούθησης απειλών για το macOS, σημειώνοντας σημαντικές τεχνικές βελτιώσεις στη μεθοδολογία ανάπτυξης του κακόβουλου λογισμικού. Οι απειλητικοί παράγοντες έχουν εγκαταλείψει την προηγούμενη τεχνική έγχυσης δυναμικής βιβλιοθήκης υπέρ μιας πιο εξελιγμένης προσέγγισης που ενσωματώνει κακόβουλα στοιχεία απευθείας στις βοηθητικές διαδικασίες της στοχευμένης εφαρμογής.
Η παραποιημένη εφαρμογή Termius
Η παραποιημένη εφαρμογή Termius φτάνει ως αρχείο εικόνας δίσκου μεγέθους 248MB, αισθητά μεγαλύτερο από τη νόμιμη έκδοση των 225MB λόγω των ενσωματωμένων κακόβουλων δυαδικών αρχείων. Οι επιτιθέμενοι έχουν αντικαταστήσει την αρχική υπογραφή του προγραμματιστή με τη δική τους ad hoc υπογραφή για να παρακάμψουν τις απαιτήσεις υπογραφής κώδικα του macOS, δείχνοντας την κατανόησή τους για τους μηχανισμούς ασφαλείας της Apple.
Μηχανισμός μόλυνσης και τακτικές διατήρησης
Το κακόβουλο λογισμικό χρησιμοποιεί μια πολυεπίπεδη διαδικασία μόλυνσης που ξεκινά με την τροποποίηση του νόμιμου στοιχείου Termius Helper.app. Το αρχικό δυαδικό αρχείο 248KB μετονομάζεται σε Termius Helper1, ενώ ένα τεράστιο κακόβουλο αρχείο 25MB παίρνει τη θέση του. Κατά την εκτέλεση, αυτός ο τροποποιημένος βοηθός εκκινεί τόσο την αρχική εφαρμογή για να διατηρήσει τη φυσιολογική λειτουργικότητα όσο και τον κώδικα φορτωτή κακόβουλου λογισμικού για να ξεκινήσει η αλυσίδα μόλυνσης.
Διατήρηση και επικοινωνία με τον διακομιστή ελέγχου
Ο φορτωτής καθιερώνει διατήρηση δημιουργώντας ένα LaunchDaemon με την ετικέτα com.apple.xssooxxagent, προγραμματισμένο να εκτελείται κάθε ώρα από τον κατάλογο /Users/Shared/com.apple.xssooxxagent. Κατεβάζει ένα κρυπτογραφημένο φορτίο από το download.termius[.]info/bn.log.enc χρησιμοποιώντας το σκληρά κωδικοποιημένο κλειδί αποκρυπτογράφησης my_secret_key, γράφοντας το αποκρυπτογραφημένο Khepri C2 beacon στο /tmp/.fseventsd.
Το beacon διατηρεί έναν γρήγορο ρυθμό επικοινωνίας 5 δευτερολέπτων με τον διακομιστή ελέγχου στο ctl01.termius[.]fun, χρησιμοποιώντας την θύρα 53 για να συνδυαστεί με νόμιμη κίνηση DNS ενώ χρησιμοποιεί το www.baidu[.]com ως παραπλανητικό domain.
