Pesquisadores de cibersegurança descobriram novos artefatos associados a um malware para Apple macOS chamado ZuRu, conhecido por se propagar via versões trojanizadas de softwares legítimos.
A SentinelOne, em um novo relatório compartilhado com o site The Hacker News, disse que o malware foi observado se passando pelo cliente SSH multiplataforma e pela ferramenta de gerenciamento de servidores Termius no final de maio de 2025.
"O malware ZuRu continua a se aproveitar de usuários macOS que buscam por ferramentas de negócios legítimas, adaptando seu loader e técnicas de C2 para backdoor em seus alvos", disseram os pesquisadores Phil Stokes e Dinesh Devadoss.
O ZuRu foi documentado pela primeira vez em setembro de 2021 por um usuário no site chinês de perguntas e respostas Zhihu, como parte de uma campanha maliciosa que sequestrava pesquisas por iTerm2, um aplicativo Terminal macOS legítimo, para direcionar usuários a sites falsos que enganavam os desprevenidos a baixar o malware.
Em janeiro de 2024, o Jamf Threat Labs disse que descobriu um pedaço de malware distribuído via aplicativos macOS pirateados que compartilhava semelhanças com o ZuRu.
Algumas dos outros softwares populares que foram trojanizados para entregar o malware incluem o Microsoft's Remote Desktop for Mac, além do SecureCRT e o Navicat.
O fato de o ZuRu depender principalmente de buscas patrocinadas na web para distribuição indica que os atores de ameaças por trás do malware são mais oportunistas do que direcionados em seus ataques, garantindo também que apenas aqueles procurando por conexões remotas e gestão de banco de dados sejam comprometidos.
Como as amostras detalhadas pelo Jamf, os artefatos ZuRu recentemente descobertos empregam uma versão modificada do toolkit de pós-exploração de código aberto conhecido como Khepri para permitir aos atacantes controlar remotamente os hosts infectados.
"O malware é entregue via uma imagem de disco .dmg e contém uma versão hackeada do genuíno Termius.app", disseram os pesquisadores.
"Uma vez que o pacote de aplicativos dentro da imagem de disco foi modificado, os atacantes substituíram a assinatura de código do desenvolvedor com a sua própria assinatura ad hoc para passar pelas regras de assinatura de código do macOS."
O app alterado inclui dois executáveis extras dentro do Termius Helper.app, um loader chamado ".localized", projetado para baixar e lançar um beacon de comando e controle (C2) Khepri de um servidor externo ("download.termius[.]info") e ".Termius Helper1", que é uma versão renomeada do verdadeiro aplicativo Termius Helper.
"Enquanto o uso de Khepri foi visto em versões anteriores do ZuRu, este meio de trojanizar um aplicativo legítimo varia da técnica anterior do ator de ameaça", explicaram os pesquisadores.
"Em versões mais antigas do ZuRu, os autores do malware modificavam o executável do pacote principal adicionando um comando de payload adicional referenciando um .dylib externo, com a biblioteca dinâmica funcionando como o loader para o backdoor Khepri e os módulos de persistência."
Além de baixar o beacon Khepri, o loader é projetado para estabelecer persistência no host e verifica se o malware já está presente em um caminho pré-definido no sistema e emprega ("/tmp/.fseventsd"), e se está, compara o valor do hash MD5 do payload útil com o que está hospedado no servidor.
Uma nova versão é subsequentemente baixada se os valores de hash não coincidirem.
Acredita-se que esse recurso provavelmente serve como um mecanismo de atualização para buscar novas versões do malware conforme elas se tornam disponíveis.
Mas a SentinelOne também teorizou que poderia ser uma maneira de garantir que o payload útil não tenha sido corrompida ou modificada após ser depositada.
O Khepri modificado é uma implantação C2 repleta de recursos que permite transferência de arquivo, reconhecimento de sistema, execução e controle de processos, e execução de comandos com captura de saída.
O servidor C2 usado para se comunicar com o beacon é "ctl01.termius[.]fun".
"A variante mais recente do macOS.ZuRu continua o padrão do ator de ameaça de trojanizar aplicativos macOS legítimos usados por desenvolvedores e profissionais de TI", disseram os pesquisadores.
A mudança de técnica de injeção Dylib para trojanizar um aplicativo helper embutido é provavelmente uma tentativa de contornar certos tipos de lógica de detecção.
Mesmo assim, o uso contínuo do ator de certos TTPs - desde a escolha de aplicativos alvo e padrões de nomes de domínio até a reutilização de nomes de arquivos, métodos de persistência e beaconing, sugere que esses estão oferecendo sucesso contínuo em ambientes sem proteção de endpoint suficiente.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...