Недавние исследования в области кибербезопасности выявили новый вариант вредоносного ПО ZuRu, которое целенаправленно атакует пользователей macOS, особенно разработчиков и специалистов по IT‑управлению. Вредоносная программа маскируется под легитимное приложение Termius, широко используемое для управления SSH‑соединениями, что позволяет злоумышленникам незаметно проникать в устройства жертв и оставаться незамеченными длительное время. Такая тактика способствует масштабному распространению угрозы и увеличению шансов на успешную атаку. ZuRu не новинка в сфере киберугроз. Первая документация о нем появилась ещё в 2021 году, когда пользователи в Китае заметили мошеннические страницы, подменяющие результаты поиска по iTerm2 — знакомому приложению терминала для macOS.
Вредоносное ПО направляло пользователей на поддельные сайты, побуждая скачивать заражённые версии программ. С тех пор ZuRu эволюционировал и начал использовать новые приемы для увеличения эффективности своих атак. В январе 2024 года специалисты Jamf Threat Labs выявили версию ZuRu, распространявшуюся через взломанные версии популярных macOS‑приложений, таких как Remote Desktop от Microsoft, SecureCRT и Navicat. Все эти программы востребованы среди IT‑профессионалов и разработчиков, что позволяет злоумышленникам атаковать именно ту аудиторию, которая сможет предоставить доступ к важным серверам и данным. Новая модификация ZuRu, обнаруженная в мае 2025 года и детализированная в отчёте SentinelOne, использует усовершенствованный способ внедрения через троянскую версию приложения Termius.
Патчи, которые обычно проверяют подлинность программного обеспечения на macOS, обмануты заменой официальной цифровой подписи кода собственной подписью злоумышленников, позволяя обойти базовые системы безопасности операционной системы. Внутри поддельного приложения Termius содержатся дополнительные исполняемые файлы, которые играют ключевую роль в деятельности вредоносного ПО. В частности, в составе пакета присутствует загрузчик с названием ".localized", предназначенный для загрузки и запуска командного и контрольного модуля Khepri, а также переименованное приложение помощника Termius Helper. Такой подход даёт злоумышленникам возможность устанавливать постоянное присутствие на заражённом устройстве и поддерживать связь с сервером управления.
Отличительной особенностью нового варианта ZuRu является использование модернизированного инструмента Khepri, который представляет собой мощный комплекс для постэксплуатации. Он позволяет злоумышленникам выполнять команды на целевых компьютерах, передавать файлы, собирать информацию о системе и запускать необходимые процессы. Управление происходит через командный сервер, расположенный на домене ctl01.termius.fun, что демонстрирует высокую организацию инфраструктуры атаки.
Помимо прочего, загрузчик вредоносного ПО постоянно проверяет наличие зловредной нагрузки на устройстве и сравнивает хэши с теми, что хранятся на сервере. При обнаружении несоответствий он загружает обновленную версию, что можно рассматривать как механизм самоподдержки и защиты от модификаций. Такая функциональность значительно усложняет обнаружение и удаление программы, улучшая шансы злоумышленников на длительную эксплуатацию заражённых устройств. Особое внимание вызывают способы распространения ZuRu, основанные на спонсируемых поисковых запросах и подделке популярных приложений. Такие методы свидетельствуют о том, что злоумышленники не выбирают конкретных жертв, а скорее стараются охватить широкий круг пользователей, особенно тех, кто активно ищет инструменты для работы с удалёнными серверами и базами данных.
В результате под угрозой оказываются не только частные пользователи, но и крупные организации с развитой IT‑инфраструктурой. Эволюция техники внедрения вредоносного ПО, от внедрения динамических библиотек (Dylib) к модификации вспомогательных приложений, указывает на постоянное совершенствование обфускации и обхода систем обнаружения. Это требует от специалистов по безопасности активного мониторинга и адаптации средств защиты, учитывая специфику атакующих методов и целевую аудиторию. Для защиты от угрозы ZuRu рекомендуется обеспечить использование только официальных источников для скачивания программного обеспечения, избегать применения взломанных или непроверенных версий приложений и регулярно обновлять операционную систему и установленный софт. Важно внедрять продвинутые решения для endpoint security, способные распознавать аномалии и предотвращать выполнение неизвестных или подозрительных процессов.
