Los investigadores de ciberseguridad han descubierto nuevos artefactos asociados con un malware Apple MacOS llamado Zuru, que se sabe que se propaga a través de versiones troyanizadas de software legal.
Sentinelone, en un nuevo crónica compartido con The Hacker News, dijo que el malware se ha observado disfrazado de la aparejo de encargo del cliente y servidor de SSH de plataforma cruzada a fines de mayo de 2025.
«El malware de Zuru continúa presionando a los usuarios de MacOS que buscan herramientas comerciales legítimas, adaptando sus técnicas de cargador y C2 para ver a sus objetivos», dijeron los investigadores Phil Stokes y Dinesh Devadoss.
Zuru fue documentado por primera vez en septiembre de 2021 por un becario en el sitio web chino de preguntas y respuestas Zhihu como parte de una campaña maliciosa que secuestró las búsquedas para ITERM2, una aplicación legítima de terminal MacOS, para dirigir a los usuarios a sitios falsos que engañaron a los usuarios despeje para descargar el malware.
Luego, en enero de 2024, Jamf Amenazas Labs dijo que descubrió una aposento de malware distribuida a través de aplicaciones de macOS pirateas que compartían similitudes con Zuru. Algunos de los otros software popular que ha sido troyano para entregar el malware incluyen el escritorio remoto de Microsoft para Mac, cercano con SecureCrt y Navicat.
El hecho de que Zuru se fundamento principalmente en las búsquedas web patrocinadas para su distribución indica que los actores de amenaza detrás del malware son más oportunistas que el objetivo de sus ataques, al tiempo que garantizan que solo aquellos que buscan conexiones remotas y la encargo de la cojín de datos estén comprometidos.
Al igual que las muestras detalladas por JAMF, los artefactos de Zuru recientemente descubiertos emplean una traducción modificada del conjunto de herramientas de explotación de código descubierto conocido como Khepri para permitir a los atacantes obtener el control remoto de los hosts infectados.
«El malware se entrega a través de una imagen de disco .DMG y contiene una traducción pirateada del puro termius.App», dijeron los investigadores. «Desde que se ha modificado el paquete de aplicaciones interiormente de la imagen del disco, los atacantes han reemplazado la firma del código del desarrollador con su propia firma ex profeso para aprobar reglas de firma de código MACOS».
La aplicación alterada se realiza en dos ejecutables adicionales interiormente de Termius Helper.App, un cargador llamado «.localizado» que está diseñado para descargar y iniciar una baliza de comando y control de Khepri (C2) de un servidor foráneo («Descargar.Mermius (.) Info») y «.Termius Helper1», que es una traducción renombrada de la aplicación positivo de Termius Helper.
«Si adecuadamente el uso de Khepri se vio en versiones anteriores de Zuru, este medio de troyanizar una aplicación legítima varía de la técnica inicial del actor de amenaza», explicaron los investigadores.
«En versiones anteriores de Zuru, los autores de malware modificaron el ejecutable del paquete principal agregando un comando de carga adicional que hace remisión a un .dylib foráneo, con la biblioteca dinámica que funciona como el cargador para el trasero Khepri y los módulos de persistencia».
Encima de descargar el Khepri Beacon, el cargador está diseñado para configurar la persistencia en el host y verifica si el malware ya está presente en una ruta predefinida en el sistema y emplea («/tmp/.fseventsd») y, de ser así, compara el valía de hash MD5 de la carga útil contra la que está alojada en el servidor.
Después, se descarga una nueva traducción si los títulos hash no coinciden. Se cree que la característica probablemente sirve como un mecanismo de puesta al día para obtener nuevas versiones del malware a medida que están disponibles. Pero Sentinelone incluso teorizó que podría ser una forma de asegurar que la carga útil no haya sido corrompida o modificada a posteriori de que se cayera.
La aparejo KHEPRI modificada es un implante C2 ahíto de características que permite la transferencia de archivos, el registro del sistema, la ejecución y el control del proceso, y la ejecución de comandos con captura de salida. El servidor C2 utilizado para comunicarse con la baliza es «CTL01.Mermius (.) Diversión».
«La última variación de MacOS.Zuru continúa el patrón de la amenaza de la trojanización de aplicaciones de macOS legítimas utilizadas por los desarrolladores y profesionales de TI», dijeron los investigadores.
«El cambio en la técnica de la inyección de Dylib hasta la troyanización de una aplicación de ayuda integrada es probablemente un intento de eludir ciertos tipos de dialéctica de detección. Aun así, el uso continuo del actor de ciertos TTP, desde la sufragio de aplicaciones objetivo y patrones de nombres de dominio hasta la reutilización de nombres de archivos, persistencia y métodos de hermanos, sugieren que estos están ofreciendo un éxito continuo en los entornos que carecen de protección final suficiente». «.». «.». «.». «.». «.». «
