Nuevo malware ZuRu para MacOS se propaga a través de aplicaciones empresariales trojanizadas

HomeNews* Los investigadores identificaron una nueva actividad del malware ZuRu para macOS a finales de mayo de 2025.

• ZuRu se disfraza de software legítimo, incluyendo el cliente SSH Termius, para infectar computadoras Mac.
• El malware utiliza un kit de herramientas de código abierto modificado llamado Khepri para acceso y control remoto.
• Los atacantes distribuyen ZuRu principalmente a través de aplicaciones Trojanizadas que se encuentran mediante búsquedas web patrocinadas.
• Los cambios recientes muestran que el malware ahora utiliza nuevos métodos para eludir la seguridad en los sistemas macOS. Los expertos en ciberseguridad han detectado nuevas señales de ZuRu, un malware que afecta a macOS de Apple, en mayo de 2025. El malware se propaga imitando aplicaciones populares de gestión empresarial y de TI, dirigiéndose a los usuarios a través de archivos de instalación alterados. La última aparición de ZuRu implica imitar el cliente SSH y la herramienta de gestión de servidores Termius.

• Publicidad - Según un informe de SentinelOne, los investigadores observaron a ZuRu utilizando una versión falsa de Termius. Los atacantes entregaron el malware a través de una imagen de disco .dmg, que incluía un paquete de aplicación manipulado firmado con la propia firma de código del actor de amenaza. Este método particular permite a ZuRu eludir las restricciones de firma de código de macOS.

El informe señala que ZuRu emplea una versión modificada de Khepri, un kit de herramientas de código abierto que permite a los atacantes controlar de forma remota sistemas infectados. El malware instala ejecutables adicionales, incluyendo un cargador diseñado para obtener comandos de un servidor externo. “El malware ZuRu sigue acechando a los usuarios de macOS que buscan herramientas comerciales legítimas, adaptando su cargador y técnicas C2 para acceder a sus objetivos,” afirmaron los investigadores Phil Stokes y Dinesh Devadoss.

Documentado por primera vez en septiembre de 2021, ZuRu era conocido por secuestrar búsquedas relacionadas con herramientas populares de Mac como iTerm2. Dirigía a los usuarios a sitios web falsos, llevándolos a descargar archivos infectados con malware. En enero de 2024, Jamf Threat Labs vinculó a ZuRu con aplicaciones pirateadas, incluyendo Remote Desktop de Microsoft para Mac, SecureCRT y Navicat, todas distribuidas con malware oculto.

La reciente variante cambia la forma en que se oculta dentro de las aplicaciones. En lugar de modificar el ejecutable principal con un complemento malicioso, los atacantes ahora incrustan la amenaza dentro de una aplicación auxiliar. Este ajuste parece estar dirigido a evadir la detección tradicional de malware. El cargador verifica la presencia de malware existente, verifica su integridad y descarga actualizaciones si se encuentra una discrepancia.

Las características de la herramienta Khepri incluyen transferencias de archivos, monitoreo del sistema, ejecución de programas y captura de salida, todo controlado a través de un servidor remoto. Los investigadores señalan que los atacantes se centran en trojanizar herramientas comúnmente utilizadas por desarrolladores y profesionales de TI. También dependen de técnicas como módulos de persistencia y métodos de comunicación para mantener su control sobre los sistemas comprometidos. Se puede encontrar más información en el análisis detallado de SentinelOne.

Artículos Anteriores:

• Bitcoin alcanza los $111K: 4 señales de que los inversores minoristas están regresando
• SDX y Pictet completan piloto para tokenizar y fraccionar bonos
• Letonia permite a las empresas utilizar criptomonedas para el capital social
• Australia aprueba 24 pilotos de activos tokenizados con grandes bancos
• Los analistas predicen que Dogecoin podría aumentar un 177% hasta $0.50 para 2030

• Anuncio -