Siber güvenlik araştırmacıları, meşru yazılımların trojanize edilmiş versiyonları aracılığıyla yayıldığı bilinen Zuru adlı bir Apple macOS kötü amaçlı yazılımıyla ilişkili yeni eserler keşfettiler.
Sentinelone, Hacker News ile paylaşılan yeni bir raporda, kötü amaçlı yazılımın Mayıs 2025’in sonlarında platformlar arası SSH istemcisi ve sunucu yönetimi aracı Termius olarak maskelendiğini söyledi.
Araştırmacılar Phil Stokes ve Dinesh Devadoss, “Zuru kötü amaçlı yazılım, meşru iş araçları arayan macOS kullanıcılarını avlamaya devam ediyor, yükleyicisini ve C2 tekniklerini hedeflerini geri yüklemek için uyarlıyor.” Dedi.
Zuru ilk olarak Eylül 2021’de Çinli soru-cevap web sitesi Zhihu’daki bir kullanıcı tarafından, meşru bir MacOS terminal uygulaması olan ITERM2’yi kaçıran kötü niyetli bir kampanyanın bir parçası olarak, kullanıcıları şüphesiz kullanıcıları kötü amaçlı yazılımları indirmeye kandıran sahte sitelere yönlendirmek için belgelendi.
Daha sonra Ocak 2024’te JAMF Tehdit Labs, Korsan MacOS uygulamaları aracılığıyla Zuru ile benzerlikleri paylaşan bir parça kötü amaçlı yazılım keşfettiğini söyledi. Kötü amaçlı yazılımları sunmak için truva atılan diğer popüler yazılımlardan bazıları, Microsoft’un Mac için uzak masaüstü, Securecrt ve Navicat ile birlikte.
Zuru’nun öncelikle dağıtım için sponsorlu web aramalarına dayanması, kötü amaçlı yazılımların arkasındaki tehdit aktörlerinin saldırılarında hedeflenenden daha fırsatçı olduğunu gösterirken, sadece uzak bağlantılar ve veritabanı yönetimi arayanların tehlikeye atılmasını sağlar.
JAMF tarafından detaylandırılan numuneler gibi, yeni keşfedilen Zuru eserleri, saldırganların enfekte konakçıların uzaktan kontrolünü kazanmalarını sağlamak için Khepri olarak bilinen açık kaynaktan çıkarma sonrası araç setinin değiştirilmiş bir versiyonunu kullanıyor.
Araştırmacılar, “Kötü amaçlı yazılım bir .dmg disk görüntüsü ile teslim edilir ve orijinal Termius.app’in saldırıya uğramış bir sürümünü içerir.” Dedi. “Disk görüntüsünün içindeki uygulama paketi değiştirildiğinden, saldırganlar MacOS kodu imzalama kurallarını geçmek için geliştiricinin kod imzasını kendi ad hoc imzalarıyla değiştirdiler.”
Değiştirilmiş Uygulama, Termius Helper.app içinde iki ekstra yürütülebilir dosyada paketler, “.localize” adlı bir yükleyici, harici bir sunucudan bir khepri komut ve kontrol (c2) işaretini indirmek ve başlatmak için tasarlanmıştır (“indir.[.]info “) ve” .Termius helper1 “, gerçek Termius yardımcı uygulamasının yeniden adlandırılmış bir sürümüdür.
Araştırmacılar, “Khepri’nin kullanımı Zuru’nun önceki sürümlerinde görülürken, bu meşru bir uygulamayı troşize etmek için tehdit oyuncunun önceki tekniğinden değişiyor.”
“Zuru’nun eski sürümlerinde, kötü amaçlı yazılım yazarları, bir harici .dylib’e başvuran ek bir yük komutu ekleyerek ana paketin yürütülebilirliğini değiştirdiler ve dinamik kütüphane Khepri arka kapı ve kalıcılık modülleri için yükleyici olarak işlev gördü.”
Khepri Beacon’u indirmenin yanı sıra, yükleyici, ana bilgisayar üzerinde kalıcılık oluşturmak için tasarlanmıştır ve kötü amaçlı yazılımların zaten sistemde önceden tanımlanmış bir yolda olup olmadığını kontrol eder (“/tmp/.fseventsd”) ve eğer öyleyse, sunucuda barındırılan bir yükün MD5 hash değerini karşılaştırır.
Hash değerleri eşleşmezse daha sonra yeni bir sürüm indirilir. Özelliğin, kötü amaçlı yazılımların yeni sürümlerini kullanılabilir hale getirdikçe almak için bir güncelleme mekanizması olarak hizmet ettiğine inanılmaktadır. Ancak Sentinelone ayrıca, yükün düşürüldükten sonra bozulmamasını veya değiştirilmemesini sağlamanın bir yolu olabileceğini teorize etti.
Değiştirilmiş Khepri aracı, dosya aktarımına, sistem keşifine, süreç yürütme ve kontrolü ve çıktı yakalama ile komut yürütme sağlayan özelliklerle dolu bir C2 implantıdır. Beacon ile iletişim kurmak için kullanılan C2 sunucusu “CTL01.Termius[.]eğlence.”
Araştırmacılar, “MacOS.Zuru’nun en son varyantı, tehdit oyuncunun geliştiriciler ve BT profesyonelleri tarafından kullanılan meşru macOS uygulamalarını gerçekleştirme modeline devam ediyor.” Dedi.
“Teknikte dylib enjeksiyonundan gömülü bir yardımcı uygulamaya geçişe geçiş, muhtemelen belirli türden algılama mantığını atlatma girişimidir. Buna rağmen, aktörün belirli TTP’lerin kullanımı – hedef uygulamalar ve alan adı kalıplarının yeniden kullanımı, kalıcılık ve işaretleme yöntemlerinin yeniden kullanılmasına kadar – bunların ortam eksikliği yeterli olanı yetersiz olanı sunduğunu önerir.”