Malware ZuRu MacOS Baru Menyebar Melalui Aplikasi Bisnis Trojan

Berita* Peneliti mengidentifikasi aktivitas baru dari Malware macOS ZuRu pada akhir Mei 2025.

• ZuRu menyamar sebagai perangkat lunak yang sah, termasuk klien SSH Termius, untuk menginfeksi komputer Mac.
• Malware ini menggunakan toolkit sumber terbuka yang dimodifikasi bernama Khepri untuk akses dan kontrol jarak jauh.
• Penyerang menyebarkan ZuRu terutama melalui aplikasi yang terinfeksi trojan yang ditemukan melalui pencarian web berbayar.
• Perubahan terbaru menunjukkan bahwa malware sekarang menggunakan metode baru untuk melewati keamanan di sistem macOS. Para ahli keamanan siber telah mendeteksi tanda-tanda baru dari ZuRu, malware yang mempengaruhi macOS milik Apple, pada Mei 2025. Malware ini menyebar dengan meniru aplikasi manajemen bisnis dan TI yang populer, menargetkan pengguna melalui file instalasi yang dimodifikasi. Kemunculan terbaru ZuRu melibatkan peniruan klien SSH dan alat manajemen server Termius.

• Iklan - Menurut laporan dari SentinelOne, peneliti mengamati ZuRu menggunakan versi palsu dari Termius. Penyerang mengirimkan malware melalui gambar disk .dmg, yang mencakup bundle aplikasi yang telah dimanipulasi dan ditandatangani dengan tanda tangan kode aktor ancaman itu sendiri. Metode khusus ini memungkinkan ZuRu untuk menghindari pembatasan tanda tangan kode macOS.

Laporan mencatat bahwa ZuRu menggunakan versi modifikasi dari Khepri, sebuah toolkit sumber terbuka yang memungkinkan penyerang mengendalikan sistem yang terinfeksi dari jarak jauh. Malware ini menginstal eksekusi tambahan, termasuk loader yang dirancang untuk mengambil perintah dari server eksternal. “Malware ZuRu terus memangsa pengguna macOS yang mencari alat bisnis yang sah, menyesuaikan loader dan teknik C2-nya untuk membackdoor targetnya,” kata para peneliti Phil Stokes dan Dinesh Devadoss.

Pertama kali didokumentasikan pada September 2021, ZuRu dikenal mengalihkan pencarian terkait alat Mac populer seperti iTerm2. Itu mengarahkan pengguna ke situs web palsu, membuat mereka mengunduh file yang terinfeksi malware. Pada Januari 2024, Jamf Threat Labs menghubungkan ZuRu dengan aplikasi bajakan, termasuk Remote Desktop untuk Mac dari Microsoft, SecureCRT, dan Navicat, semuanya didistribusikan dengan malware tersembunyi.

Varian terbaru mengubah cara ia bersembunyi di dalam aplikasi. Alih-alih memodifikasi executable utama dengan add-on berbahaya, penyerang kini menyematkan ancaman di dalam aplikasi pembantu. Penyesuaian ini tampaknya ditujukan untuk menghindari deteksi malware tradisional. Loader memeriksa keberadaan malware yang ada, memverifikasi integritasnya, dan mengunduh pembaruan jika ditemukan ketidakcocokan.

Fitur alat Khepri mencakup transfer file, pemantauan sistem, menjalankan program, dan menangkap output, semuanya dikendalikan melalui server jarak jauh. Peneliti mencatat bahwa para penyerang fokus pada trojanisasi alat yang umum digunakan oleh pengembang dan profesional TI. Mereka juga mengandalkan teknik seperti modul ketahanan dan metode beaconing untuk mempertahankan kendali mereka atas sistem yang telah dikompromikan. Informasi lebih lanjut dapat ditemukan dalam analisis mendetail dari SentinelOne.

Artikel Sebelumnya:

• Bitcoin Menyentuh $111K: 4 Tanda Investor Ritel Kembali
• SDX dan Pictet Selesaikan Pilot untuk Menerbitkan dan Memfractionalkan Obligasi
• Latvia Memungkinkan Perusahaan Menggunakan Cryptocurrency untuk Modal Saham
• Australia Menyetujui 24 Pilot Aset Tokenisasi Dengan Bank-Bank Besar
• Dogecoin Diprediksi Naik 177% Menjadi $0,50 Pada 2030, Menurut Analis

• Iklan -