Malware ZuRu MacOS Mới Lây Lan Qua Ứng Dụng Doanh Nghiệp Bị Trojan Hóa

Trang chủTin tức* Các nhà nghiên cứu đã xác định được hoạt động mới của phần mềm độc hại ZuRu trên macOS vào cuối tháng 5 năm 2025.

• ZuRu ngụy trang thành phần mềm hợp pháp, bao gồm cả ứng dụng SSH Termius, để lây nhiễm cho máy tính Mac.
• Phần mềm độc hại sử dụng một bộ công cụ mã nguồn mở đã được sửa đổi có tên là Khepri để truy cập và kiểm soát từ xa.
• Kẻ tấn công phân phối ZuRu chủ yếu thông qua các ứng dụng bị trojan hóa được tìm thấy qua các tìm kiếm web được tài trợ.
• Những thay đổi gần đây cho thấy phần mềm độc hại hiện sử dụng các phương pháp mới để vượt qua bảo mật trên hệ thống macOS. Các chuyên gia an ninh mạng đã phát hiện dấu hiệu mới của ZuRu, một phần mềm độc hại ảnh hưởng đến macOS của Apple, vào tháng 5 năm 2025. Phần mềm độc hại này lây lan bằng cách mô phỏng các ứng dụng quản lý kinh doanh và CNTT phổ biến, nhắm mục tiêu đến người dùng thông qua các tệp cài đặt bị sửa đổi. Sự xuất hiện mới nhất của ZuRu liên quan đến việc mô phỏng công cụ quản lý máy chủ và khách SSH Termius.

• Quảng cáo - Theo một báo cáo từ SentinelOne, các nhà nghiên cứu đã quan sát thấy ZuRu sử dụng một phiên bản giả mạo của Termius. Những kẻ tấn công đã phát tán phần mềm độc hại thông qua một hình ảnh đĩa .dmg, bao gồm một gói ứng dụng bị sửa đổi được ký bằng chữ ký mã của kẻ đe dọa. Phương pháp cụ thể này cho phép ZuRu vượt qua các hạn chế về ký mã macOS.

Báo cáo lưu ý rằng ZuRu sử dụng một phiên bản sửa đổi của Khepri, một bộ công cụ mã nguồn mở cho phép kẻ tấn công điều khiển từ xa các hệ thống bị nhiễm. Phần mềm độc hại cài đặt thêm các tệp thực thi, bao gồm một trình tải được thiết kế để lấy lệnh từ một máy chủ bên ngoài. “Phần mềm độc hại ZuRu tiếp tục săn lùng người dùng macOS đang tìm kiếm các công cụ kinh doanh hợp pháp, điều chỉnh trình tải và kỹ thuật C2 của nó để tạo cửa hậu cho các mục tiêu,” các nhà nghiên cứu Phil Stokes và Dinesh Devadoss cho biết.

Được ghi nhận lần đầu vào tháng 9 năm 2021, ZuRu đã được biết đến là kẻ đánh cắp tìm kiếm liên quan đến các công cụ Mac phổ biến như iTerm2. Nó đã hướng người dùng đến các trang web giả mạo, dẫn họ tải xuống các tệp bị nhiễm malware. Vào tháng 1 năm 2024, Jamf Threat Labs đã kết nối ZuRu với các ứng dụng vi phạm bản quyền, bao gồm Remote Desktop của Microsoft cho Mac, SecureCRT và Navicat, tất cả đều được phân phối với malware ẩn.

Biến thể gần đây thay đổi cách nó ẩn nấp trong các ứng dụng. Thay vì sửa đổi tệp thực thi chính bằng một phần bổ sung độc hại, kẻ tấn công giờ đây nhúng mối đe dọa vào một ứng dụng trợ giúp. Sự điều chỉnh này dường như nhằm tránh bị phát hiện bởi phần mềm độc hại truyền thống. Trình tải kiểm tra sự hiện diện của phần mềm độc hại đã tồn tại, xác minh tính toàn vẹn của nó và tải xuống các bản cập nhật nếu phát hiện sự không khớp.

Các tính năng của công cụ Khepri bao gồm chuyển file, giám sát hệ thống, chạy chương trình và thu thập đầu ra, tất cả đều được điều khiển thông qua một máy chủ từ xa. Các nhà nghiên cứu lưu ý rằng những kẻ tấn công tập trung vào việc tạo mã độc cho các công cụ thường được sử dụng bởi các nhà phát triển và chuyên gia CNTT. Họ cũng dựa vào các kỹ thuật như mô-đun duy trì và phương pháp beaconing để duy trì sự kiểm soát trên các hệ thống bị xâm nhập. Thông tin chi tiết có thể được tìm thấy trong phân tích chi tiết của SentinelOne.

Các bài viết trước:

• Bitcoin đạt $111K: 4 dấu hiệu cho thấy các nhà đầu tư bán lẻ đang trở lại
• SDX và Pictet hoàn thành thí điểm để mã hóa và phân chia trái phiếu
• Latvia cho phép các công ty sử dụng tiền điện tử cho vốn cổ phần
• Úc phê duyệt 24 dự án tài sản token hóa với các ngân hàng lớn
• Dogecoin có thể tăng 177% lên $0.50 vào năm 2030, các nhà phân tích dự đoán

• Quảng cáo -