В конце мая 2025 года исследователи кибербезопасности обнаружили новый вариант вредоносного ПО macOS.ZuRu, впервые выявленного в 2021 году. Эта обновленная версия использует скомпрометированное приложение Termius, популярный SSH-клиент, чтобы распространять модифицированный бекдор Khepri, который дает злоумышленникам полный контроль над зараженными системами. Эксперты предупреждают, что атака нацелена в первую очередь на разработчиков и ИТ-специалистов, а ее сложные механизмы обхода защиты делают ее особенно опасной.
Описание
Как работает новый macOS.ZuRu?
Вредоносная программа распространяется через поддельный образ .dmg, содержащий измененную версию Termius. Изначальное приложение весит около 225 МБ, но в зараженном варианте его размер увеличивается до 248 МБ из-за внедрения дополнительных вредоносных исполняемых файлов. Злоумышленники заменяют оригинальный бинарный файл Termius Helper на поддельный, который не только выполняет легитимные функции, но и запускает загрузчик .localized. Этот загрузчик, в свою очередь, загружает бекдор Khepri и сохраняет его в скрытой директории /tmp/.fseventsd, что позволяет вредоносному коду избежать обнаружения.
Особенностью нового варианта macOS.ZuRu является использование модифицированной версии фреймворка Khepri, который поддерживает связь с командным сервером (C2) через порт 53, маскируя трафик под DNS-запросы. Это усложняет обнаружение аномалий в сетевой активности. Кроме того, бот отправляет "сердцебиение" на сервер каждые 5 секунд, вдвое быстрее стандартного интервала, что позволяет злоумышленникам оперативно получать данные и отправлять команды.
Как macOS.ZuRu обходит защитные механизмы?
Одним из ключевых методов обхода безопасности в этой кампании является подмена цифровой подписи приложения. Вместо оригинальной подписи разработчиков Termius вредоносная версия использует ad hoc-подпись, которая позволяет обойти проверки Gatekeeper в macOS. Кроме того, загрузчик проверяет целостность вредоносного кода с помощью MD5-хэшей и автоматически загружает обновленные версии, если обнаруживает изменения, что повышает живучесть угрозы.
Кто находится под угрозой?
Аналитики отмечают, что macOS.ZuRu в первую очередь ориентирован на разработчиков и системных администраторов, которые используют такие инструменты, как Termius, SecureCRT и Navicat. Скорее всего, атака распространяется через пиратские версии ПО или скомпрометированные зеркала загрузок, что подчеркивает необходимость скачивать приложения только из официальных источников.
Рекомендации по защите
Чтобы избежать заражения, пользователям Mac рекомендуется тщательно проверять источники скачиваемого ПО, активировать все доступные механизмы защиты в macOS (включая Gatekeeper и XProtect), а также регулярно обновлять систему и установленные приложения. Кроме того, следует осторожно относиться к неожиданным запросам прав доступа и подозрительной активности в сети.
Эксперты предупреждают, что macOS.ZuRu продолжает развиваться, и в будущем можно ожидать новых вариаций этой угрозы. Организациям, чьи сотрудники работают с критически важными данными, следует усилить мониторинг необычной активности на рабочих станциях и внедрить решения для обнаружения аномального поведения процессов.
Индикаторы компрометации
SHA256
- 42605f1d22f8d38f0be494f36d377bf71592ae54583e6e78641a63ec3021cbeb
- 8ac593fbe69ae93de505003eff446424d4fd165cda6f85c8c27e8e1cb352b06e
