Una nuova variante del malware ZuRu sta prendendo di mira gli sviluppatori e gli utenti macOS attraverso versioni trojanizzate dell’applicazione Termius, uno strumento legittimo per la gestione di server e connessioni SSH. Secondo recenti analisi di SentinelOne, la diffusione di ZuRu avviene tramite immagini disco .dmg che contengono una copia modificata di Termius. Questo file, apparentemente innocuo, nasconde invece un malware sofisticato capace di eludere i controlli di sicurezza di macOS sfruttando firme di codice ad hoc.

Diffusione e metodi di attacco

La campagna ZuRu non è nuova: già nel 2021 era stata documentata la diffusione del malware tramite falsi siti che imitavano popolari applicazioni come iTerm2. Nel tempo, gli attori dietro ZuRu hanno perfezionato le tecniche di distribuzione, puntando su ricerche sponsorizzate e software pirata. Spesso le vittime sono utenti alla ricerca di strumenti per la gestione remota o lo sviluppo, tra cui anche Remote Desktop per Mac, SecureCRT e Navicat.

Capacità e tecniche di ZuRu

Un aspetto chiave che rende ZuRu particolarmente pericoloso è la sua capacità di adattarsi e di utilizzare moduli open source come Khepri, un toolkit di post-exploitation usato per ottenere il controllo completo dei sistemi compromessi. All’interno della cartella dell’app modificata, sono presenti eseguibili nascosti che scaricano e avviano il beacon Khepri da server remoti controllati dagli attaccanti.

Nuove tecniche di evasione

Questa nuova variante di ZuRu si distingue per una tecnica diversa rispetto alle versioni precedenti: invece di inserire una libreria .dylib esterna nell’eseguibile principale, integra i componenti malevoli in una helper app all’interno del bundle di Termius. In questo modo, il malware riesce a eludere alcuni meccanismi di rilevamento e a mantenere la persistenza sul sistema infetto.

Meccanismi di aggiornamento e controllo remoto

Un altro elemento avanzato della minaccia è il suo meccanismo di aggiornamento: il loader verifica la presenza della minaccia in una specifica directory (/tmp/.fseventsd) e confronta l’hash MD5 con quello presente sul server. Se non coincidono, scarica una versione aggiornata del payload, garantendo così che il malware resti sempre funzionante e difficilmente intercettabile.

Il controllo remoto offerto da Khepri permette agli attaccanti di eseguire comandi, trasferire file, fare ricognizione sul sistema e molto altro. Questa tecnica di trojanizzazione di applicazioni utilizzate da sviluppatori e amministratori di sistema rappresenta una minaccia seria, soprattutto in ambienti dove mancano soluzioni di sicurezza endpoint avanzate.