Ciberseguridad 360 | Variante del malware ZuRu se propaga en macOS mediante app falsa de Termius

Investigadores de ciberseguridad han descubierto nuevos artefactos asociados a un malware para macOS de Apple llamado ZuRu, conocido por propagarse a trav�s de versiones troyanizadas de software leg�timo.

SentinelOne, en un nuevo informe compartido con The Hacker News, dijo que el malware ha sido observado haci�ndose pasar por el cliente SSH multiplataforma y la herramienta de gesti�n de servidores Termius a finales de mayo de 2025.

"El malware ZuRu contin�a aprovech�ndose de los usuarios de macOS que buscan herramientas comerciales leg�timas, adaptando su cargador y t�cnicas C2 para backdoor sus objetivos", dijeron los investigadores Phil Stokes y Dinesh Devadoss.

ZuRu fue documentado por primera vez en septiembre de 2021 por un usuario en el sitio web chino de preguntas y respuestas Zhihu como parte de una campa�a maliciosa que secuestraba las b�squedas de iTerm2, una aplicaci�n leg�tima de macOS Terminal, para dirigir a los usuarios a sitios falsos que enga�aban a los usuarios desprevenidos para que descargaran el malware.

En enero de 2024, Jamf Threat Labs dijo haber descubierto un malware distribuido a trav�s de aplicaciones piratas para macOS que compart�a similitudes con ZuRu. Otros programas populares que han sido troyanizados para distribuir el malware son Microsoft Remote Desktop para Mac, junto con SecureCRT y Navicat.

El hecho de que ZuRu se distribuya principalmente a trav�s de b�squedas patrocinadas en Internet indica que los autores de la amenaza son m�s oportunistas que selectivos en sus ataques, al tiempo que se aseguran de que s�lo aquellos que buscan conexiones remotas y gesti�n de bases de datos se vean comprometidos.

Al igual que las muestras detalladas por Jamf, los artefactos ZuRu reci�n descubiertos emplean una versi�n modificada del kit de herramientas de post-explotaci�n de c�digo abierto conocido como Khepri para permitir a los atacantes obtener el control remoto de los hosts infectados.

"El malware se entrega a trav�s de una imagen de disco .dmg y contiene una versi�n hackeada de la genuina Termius.app", dijeron los investigadores. "Dado que el paquete de aplicaciones dentro de la imagen de disco ha sido modificado, los atacantes han sustituido la firma de c�digo del desarrollador por su propia firma ad hoc con el fin de pasar las reglas de firma de c�digo de macOS".

La aplicaci�n alterada incluye dos ejecutables adicionales dentro de Termius Helper.app, un cargador llamado ".localized" que est� dise�ado para descargar y lanzar una baliza de comando y control (C2) Khepri desde un servidor externo ("download.termius[.]info") y ".Termius Helper1", que es una versi�n renombrada de la aplicaci�n Termius Helper real.

"Si bien el uso de Khepri se observ� en versiones anteriores de ZuRu, este medio de troyanizar una aplicaci�n leg�tima var�a de la t�cnica anterior del actor de la amenaza", explicaron los investigadores.

"En versiones anteriores de ZuRu, los autores del malware modificaban el ejecutable del paquete principal a�adiendo un comando de carga adicional que hac�a referencia a una .dylib externa, y la biblioteca din�mica funcionaba como cargador para el backdoor Khepri y los m�dulos de persistencia".

Adem�s de descargar la baliza Khepri, el cargador est� dise�ado para configurar la persistencia en el host y comprueba si el malware ya est� presente en una ruta predefinida en el sistema y emplea ("/tmp/.fseventsd") y, en caso afirmativo, compara el valor hash MD5 de la carga �til con el que est� alojado en el servidor.

Si los valores hash no coinciden, se descarga una nueva versi�n. Se cree que esta funci�n sirve probablemente como mecanismo de actualizaci�n para obtener nuevas versiones del malware a medida que est�n disponibles. Pero SentinelOne tambi�n teoriza que podr�a ser una forma de asegurarse de que la carga �til no se ha corrompido o modificado despu�s de ser lanzada.

La herramienta Khepri modificada es un implante C2 repleto de funciones que permite la transferencia de archivos, el reconocimiento del sistema, la ejecuci�n y control de procesos y la ejecuci�n de comandos con captura de salida. El servidor C2 utilizado para comunicarse con la baliza es "ctl01.termius[.]fun".

"La �ltima variante de macOS.ZuRu contin�a el patr�n del actor de la amenaza de troyanizar aplicaciones macOS leg�timas utilizadas por desarrolladores y profesionales de TI", dijeron los investigadores.

"El cambio en la t�cnica de inyecci�n de Dylib a troyanizar una aplicaci�n de ayuda incrustada es probablemente un intento de eludir ciertos tipos de l�gica de detecci�n. Aun as�, el uso continuado por parte del actor de ciertas TTPs -desde la elecci�n de aplicaciones objetivo y patrones de nombres de dominio hasta la reutilizaci�n de nombres de archivo, persistencia y m�todos de balizamiento- sugieren que �stas est�n ofreciendo un �xito continuado en entornos que carecen de suficiente protecci�n de endpoints."

Fuente: thehackernews