Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware ZuRu Mac Malware

ZuRu Mac Malware

Von Mezo in Mac-Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben neue Beweise dafür gefunden, dass die berüchtigte macOS-Malware ZuRu mit neuen Angriffskampagnen in Verbindung steht. ZuRu ist dafür bekannt, Systeme über Trojaner zu infiltrieren und entwickelt sich ständig weiter. Dabei nutzt es aktualisierte Techniken und Tools, um ahnungslose Benutzer zu kompromittieren.

Als vertrauenswürdige Tools getarnt

Ende Mai 2025 wurde ZuRu als Termius, ein plattformübergreifendes SSH-Client- und Serververwaltungstool, gesichtet. Dies ist der jüngste Schritt in einer Reihe bösartiger Kampagnen, bei denen sich ZuRu als legitime macOS-Anwendungen ausgibt, um Entwickler- und IT-Umgebungen zu infizieren. Seit ihrem ersten bekannten Auftreten im September 2021, als sie die iTerm2-Suchergebnisse auf der chinesischen Q&A-Plattform Zhihu kaperte, zielte die Malware konsequent auf Nutzer ab, die nach Lösungen für Fernzugriff und Datenbankverwaltung suchten.

Die Taktik basiert stark auf gesponserten Suchergebnissen. Dadurch können die Angreifer gezielt Personen erreichen, die bereits nach solchen Tools suchen. Dieser Ansatz erhöht die Wahrscheinlichkeit einer erfolgreichen Infektion und verhindert gleichzeitig eine breitere Erkennung.

Von Raubkopien bis zu vergifteten Disk-Images

Bis Januar 2024 wurde ZuRu auch in Raubkopien beliebter macOS-Software wie Microsoft Remote Desktop, SecureCRT und Navicat entdeckt. Forscher haben es nun mit einem beschädigten .dmg-Disk-Image in Verbindung gebracht, das eine manipulierte Kopie von Termius.app enthält.

Dieses geänderte Anwendungspaket ersetzt die Codesignatur des ursprünglichen Entwicklers durch eine Ad-hoc-Signatur, um den Schutz der macOS-Codesignatur zu umgehen. Darin sind zwei Schlüsselkomponenten eingebettet:

  • .localized: Ein bösartiger Loader, der ein Khepri C2-Beacon von download.termius.info abruft und startet.
  • .Termius Helper1: Eine umbenannte Version der legitimen Termius Helper-App, die zum Maskieren des bösartigen Verhaltens verwendet wird.

Diese ausführbaren Dateien sind in Termius Helper.app versteckt und ihre Integration stellt eine Änderung gegenüber der älteren Methode von ZuRu dar, bei der .dylib-Dateien direkt in Anwendungspakete eingefügt werden.

Persistenz- und Aktualisierungsmechanismen

Der .localized Loader dient nicht nur zum Abrufen von Payloads, sondern prüft auch, ob die Malware unter /tmp/.fseventsd vorhanden ist. Er vergleicht den MD5-Hash der aktuellen Payload mit dem remote gehosteten und lädt bei Abweichungen eine neue Version herunter. Diese Selbstprüfungs- und Aktualisierungsfunktion stellt wahrscheinlich sowohl die Integrität als auch die Aktualität des Schadcodes sicher.

Khepri als Waffe: Ein Schweizer Taschenmesser nach der Ausbeutung

Kernstück dieses Angriffs ist eine modifizierte Version von Khepri, einem Open-Source-Toolkit zur Post-Exploitation. Das angepasste Tool gewährt Angreifern umfassende Kontrolle über kompromittierte macOS-Hosts, darunter:

  • Dateiübertragungen
  • Systemaufklärung
  • Ausführung und Verwaltung von Systemprozessen
  • Befehlsausführung mit Ausgabeabruf in Echtzeit

Die Kommunikation wird über den C2-Server ctl01.termius.fun aufrechterhalten, wodurch eine kontinuierliche Kontrolle über die infizierten Maschinen ermöglicht wird.

Entwicklung der Angriffstechniken

ZuRus Weiterentwicklung von der .dylib-Injektion zur Trojanisierung eingebetteter Hilfsprogramme scheint eine bewusste Umstellung zu sein, um fortschrittlichere Erkennungsmethoden zu umgehen. Trotz dieser Änderung verlässt sich der Bedrohungsakteur weiterhin auf bekannte Indikatoren:

  • Wiederverwendung von Domänennamen und Dateinamen
  • Konsequente Ausrichtung von Remote-Access- und Datenbank-Tools
  • Bekannte Persistenz- und Beaconing-Techniken

Diese Indikatoren spiegeln ein bewährtes Playbook wider, das auch in Systemen ohne starke Endpunktsicherheit wirksam bleibt.

Fazit: Eine anhaltende Bedrohung für das macOS-Ökosystem

Die neueste ZuRu-Variante verstärkt einen besorgniserregenden Trend: Ausgefeilte macOS-Bedrohungen zielen auf Entwickler und IT-Experten ab. Indem diese Malware das Vertrauen in gängige Tools ausnutzt und ihre Verbreitungsmethoden anpasst, umgeht sie weiterhin Abwehrmechanismen in unzureichend geschützten Umgebungen.

Organisationen und Einzelpersonen sollten wachsam bleiben, der Verwendung geprüfter Softwarequellen Priorität einräumen und mehrschichtige Sicherheit implementieren, um Bedrohungen wie ZuRu zu erkennen und zu neutralisieren.

Im Trend

Am häufigsten gesehen

Wird geladen...