Шедевр персистентности и конспирации: усовершенствованный троян ZuRu прячется в Termius для macOS
Исследователи в области кибербезопасности выявили новую, усовершенствованную модификацию вредоносного программного обеспечения ZuRu, которое теперь активно распространяется под видом популярного SSH-клиента для управления серверами Termius для macOS. Киберэксперт и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева отметила, что этот троян представляет серьёзную угрозу, обеспечивая скрытый удалённый доступ к заражённым устройствам и способный похищать конфиденциальные данные.
Эксперт объяснила, что внутри ZuRu теперь есть специальный набор инструментов для шпионажа — Khepri. Он позволяет им воровать файлы, узнавать информацию о вашем компьютере, запускать или останавливать программы и даже давать ему команды.
«Причём он оснащён модифицированной версией Khepri-инструмента для постэксплуатации, который позволяет получать удалённый доступ к заражённым хостам. Модифицированный Khepri — это многофункциональный C2-имплант, который может передавать файлы, проводить системную разведку, запускать и контролировать процессы, а также выполнять команды с захватом вывода. Сервер C2, используемый для связи с маяком, называется ‘ctl01.termius[.]fun’».
А всё начинается с обмана пользователя. Троян скрывается под видом обычного установочного файла с расширением .dmg и содержит взломанную версию Termius.app. Там, в модифицированном ‘Termius Helper.app’, есть два дополнительных исполняемых файла: загрузчик с именем ‘.localized’ (для запуска управляющего маяка Khepri с удалённого сервера) и ‘.Termius Helper1,’ (переименованная версия оригинального помощника ‘Termius Helper’).
Для обхода системной защиты macOS от троянизированных приложений злоумышленники заменили цифровую подпись разработчика на собственную временную подпись, что помогло обойти ограничения после внесения изменений внутри образа.
Помимо загрузки маяка Khepri, загрузчик предназначен для валидации настроек на хосте и проверки, присутствует ли вредоносная нагрузка по заранее определённому пути ‘/tmp/.fseventsd’ в системе. Если файл обнаружен, программа сравнивает хеш-значение полезной нагрузки с тем, которое размещено на сервере. Если значения хеша не совпадают, загружается новая версия.
«Согласно представленным деталям о новой модификации вредоноса, стоит серьёзно отнестись к проактивному анализу угроз. Рекомендуется добавить в чёрные списки домены из публикации, а также любые другие связанные IP-адреса/домены на уровне фаерволов, DNS-фильтрации, EDR/XDR. При возможности заблокировать запуск исполняемых файлов .localized и .Termius Helper1 через сигнатуры EDR/XDR. Для ретроспективной проверки, не было ли аналогичных запросов за последние 3 месяца, стоит обратиться за помощью к квалифицированным аналитикам GSOC компании "Газинформсервис". Специалисты смогут провести анализ инфраструктуры и грамотно разрешить потенциальные угрозы после анализа телеметрии, предполагающего проведение полного цикла compromise assessment», — заключила Дмитриева.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.