Novo malware ZuRu para MacOS espalha-se através de aplicações empresariais Trojanizadas

HomeNews* Pesquisadores identificaram uma nova atividade do malware ZuRu para macOS no final de maio de 2025.

• ZuRu disfarça-se como software legítimo, incluindo o cliente SSH Termius, para infectar computadores Mac.
• O malware utiliza um kit de ferramentas de código aberto modificado chamado Khepri para acesso e controlo remotos.
• Os atacantes distribuem o ZuRu principalmente através de aplicativos trojanizados encontrados em pesquisas na web patrocinadas.
• As mudanças recentes mostram que o malware agora utiliza novos métodos para contornar a segurança em sistemas macOS. Especialistas em cibersegurança detectaram novos sinais de ZuRu, um malware que afeta o macOS da Apple, em maio de 2025. O malware se espalha imitando aplicações populares de gestão empresarial e de TI, visando os utilizadores através de arquivos de instalação alterados. A mais recente aparição do ZuRu envolve a imitação do cliente SSH e da ferramenta de gestão de servidores Termius.

• Anúncio - De acordo com um relatório da SentinelOne, os pesquisadores observaram que o ZuRu estava usando uma versão falsa do Termius. Os atacantes entregaram o malware através de uma imagem de disco .dmg, que incluía um pacote de aplicação manipulado assinado com a própria assinatura de código do ator da ameaça. Este método particular permite que o ZuRu contorne as restrições de assinatura de código do macOS.

O relatório nota que o ZuRu utiliza uma versão modificada do Khepri, um kit de ferramentas de código aberto que permite aos atacantes controlar remotamente sistemas infectados. O malware instala executáveis adicionais, incluindo um carregador projetado para buscar comandos de um servidor externo. “O malware ZuRu continua a atacar usuários de macOS que buscam ferramentas de negócios legítimas, adaptando seu carregador e técnicas de C2 para invadir seus alvos,” afirmaram os pesquisadores Phil Stokes e Dinesh Devadoss.

Documentado pela primeira vez em setembro de 2021, o ZuRu era conhecido por sequestrar buscas relacionadas a ferramentas populares do Mac, como o iTerm2. Ele direcionava os usuários para sites falsos, levando-os a baixar arquivos infectados por malware. Em janeiro de 2024, Jamf Threat Labs conectou o ZuRu a aplicativos pirateados, incluindo o Remote Desktop da Microsoft para Mac, SecureCRT e Navicat, todos distribuídos com malware oculto.

A variante recente altera a forma como se oculta dentro das aplicações. Em vez de modificar o executável principal com um complemento malicioso, os atacantes agora incorporam a ameaça dentro de uma aplicação auxiliar. Este ajuste parece ter como objetivo evitar a deteção tradicional de malware. O carregador verifica a presença de malware existente, verifica a sua integridade e faz download de atualizações se for encontrada uma discrepância.

As funcionalidades da ferramenta Khepri incluem transferências de arquivos, monitorização de sistemas, execução de programas e captura de saída, tudo controlado através de um servidor remoto. Os investigadores notam que os atacantes se concentram em trojanizar ferramentas comumente utilizadas por desenvolvedores e profissionais de TI. Eles também dependem de técnicas como módulos de persistência e métodos de beaconing para manter seu controle sobre sistemas comprometidos. Mais informações podem ser encontradas na análise detalhada da SentinelOne.

Artigos Anteriores:

• Bitcoin atinge $111K: 4 sinais de que os investidores de retalho estão a voltar
• SDX e Pictet Completam Piloto para Tokenizar e Fracionar Obrigações
• A Letônia Permite que Empresas Usem Criptomoeda para Capital Social
• Austrália Aprova 24 Pilotos de Ativos Tokenizados com Grandes Bancos
• Dogecoin pode disparar 177% para $0,50 até 2030, preveem analistas

• Anúncio -