В конце мая 2025 года эксперты SentinelOne обнаружили обновлённую версию вредоносного ПО ZuRu, нацеленную на macOS. Зловред распространяется через поддельный клиент Termius — кроссплатформенный инструмент для управления SSH-серверами, упакованный в образ
Первая активность ZuRu зафиксирована в сентябре 2021 года на китайском сайте Zhihu: тогда злоумышленники подменяли поисковые результаты для iTerm2, перенаправляя пользователей на фальшивые страницы. В январе 2024 года Jamf Threat Labs выявил схожие атаки через пиратские приложения, включая Microsoft Remote Desktop для Mac, SecureCRT и Navicat.
Новая кампания использует спонсируемую рекламу в поисковиках для охоты на администраторов, ищущих инструменты удалённого доступа или управления базами данных. Файл Механизмы персистентности.
Как отмечают исследователи SentinelOne Фил Стоукс и Дайнеш Девадос:
> «ZuRu продолжает охотиться на пользователей macOS, ищущих бизнес-софт, адаптируя методы загрузки и C2 для бэкдоринга целей».
Атака эффективна в средах без EDR-защиты, подчёркивая необходимость скачивать ПО только из официальных источников.
.dmg. Изображение носит иллюстративный характер
Первая активность ZuRu зафиксирована в сентябре 2021 года на китайском сайте Zhihu: тогда злоумышленники подменяли поисковые результаты для iTerm2, перенаправляя пользователей на фальшивые страницы. В январе 2024 года Jamf Threat Labs выявил схожие атаки через пиратские приложения, включая Microsoft Remote Desktop для Mac, SecureCRT и Navicat.
Новая кампания использует спонсируемую рекламу в поисковиках для охоты на администраторов, ищущих инструменты удалённого доступа или управления базами данных. Файл
.dmg» содержит модифицированный с заменённой цифровой подписью разработчика на ad hoc-подпись.
Ключевой компонент — троянизированный Termius Helper.app». Внутри него скрыт загрузчик .localized», который связывается с сервером download.termius[.]info», загружая полезную нагрузку Khepri. Для маскировки легитимный помощник переименован в .Termius Helper1».
Khepri — модифицированный постэксплуатационный фреймворк с функциями:
- Перехват и выполнение команд;
- Кража файлов;
- Сбор данных о системе;
- Управление процессами.
Для обеспечения живучести ZuRu проверяет целостность через MD5-хеш, сверяя локальную версию в /tmp/.fseventsd» с сервером ctl01.termius[.]fun». При несовпадении зловред автоматически обновляется.
Сдвиг в тактике: если ранее ZuRu модифицировал основной исполняемый файл, то теперь атакует встроенные компоненты приложений. Это усложняет детектирование, но сохраняет паттерны:
- Целенаправленность на IT-инструменты;
- Однотипные домены (
termius[.]info», `termius[.]fun»); Как отмечают исследователи SentinelOne Фил Стоукс и Дайнеш Девадос:
> «ZuRu продолжает охотиться на пользователей macOS, ищущих бизнес-софт, адаптируя методы загрузки и C2 для бэкдоринга целей».
Атака эффективна в средах без EDR-защиты, подчёркивая необходимость скачивать ПО только из официальных источников.
