Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac Malware ZuRu para Mac

Malware ZuRu para Mac

Por Mezo en Malware para Mac
Traducir a:

Investigadores de ciberseguridad han descubierto nueva evidencia que vincula al infame malware para macOS ZuRu con nuevas campañas de ataque. Conocido por infiltrarse en sistemas mediante software troyanizado, ZuRu continúa evolucionando, aprovechando técnicas y herramientas actualizadas para comprometer a usuarios desprevenidos.

Haciéndose pasar por herramientas confiables

A finales de mayo de 2025, se detectó que ZuRu suplantaba a Termius, una herramienta multiplataforma de gestión de clientes y servidores SSH. Este es el último paso de una serie de campañas maliciosas en las que ZuRu se hace pasar por aplicaciones legítimas de macOS para infectar entornos de desarrolladores y TI. Desde su primera aparición conocida en septiembre de 2021, cuando secuestró los resultados de búsqueda de iTerm2 en la plataforma china de preguntas y respuestas Zhihu, el malware ha atacado sistemáticamente a usuarios que buscan soluciones de acceso remoto y gestión de bases de datos.

La táctica se basa en gran medida en resultados de búsqueda patrocinados, lo que permite a los actores de amenazas llegar de forma oportunista a personas que ya buscan dichas herramientas. Este enfoque aumenta la probabilidad de una infección exitosa y evita una detección más amplia.

Del software pirateado a las imágenes de disco envenenadas

Para enero de 2024, ZuRu también fue detectado oculto en versiones pirateadas de software popular de macOS, como Escritorio Remoto de Microsoft, SecureCRT y Navicat. Ahora, los investigadores lo han vinculado a una imagen de disco .dmg corrupta que contiene una copia alterada de Termius.app.

Este paquete de aplicaciones modificado reemplaza la firma de código del desarrollador original con una firma ad hoc para eludir las protecciones de firma de código de macOS. Incorpora dos componentes clave:

  • .localized: Un cargador malicioso que obtiene y lanza una baliza Khepri C2 desde download.termius.info.
  • .Termius Helper1: una versión renombrada de la aplicación legítima Termius Helper, utilizada para enmascarar el comportamiento malicioso.

Estos ejecutables están ocultos dentro de Termius Helper.app, y su integración representa un cambio respecto del método antiguo de ZuRu de inyectar archivos .dylib directamente en los paquetes de aplicaciones.

Mecanismos de persistencia y actualización

El cargador .localized no solo se utiliza para obtener cargas útiles, sino que también comprueba si existen instalaciones existentes verificando si el malware está presente en /tmp/.fseventsd. Compara el hash MD5 de la carga útil actual con el alojado remotamente y descarga una nueva versión si no coincide. Esta función de autocomprobación y actualización probablemente garantiza la integridad y la vigencia del código malicioso.

Khepri como arma: una navaja suiza post-explotación

El núcleo de este ataque es una versión modificada de Khepri, un kit de herramientas de código abierto para la postexplotación. Esta herramienta adaptada otorga a los atacantes un amplio control sobre los hosts macOS comprometidos, incluyendo:

  • Transferencias de archivos
  • Reconocimiento del sistema
  • Ejecución y gestión de procesos del sistema
  • Ejecución de comandos con recuperación de salida en tiempo real

La comunicación se mantiene a través del servidor C2 ctl01.termius.fun, lo que permite un control continuo sobre las máquinas infectadas.

Evolución de las técnicas de ataque

La progresión de ZuRu, de la inyección de .dylib a la troyanización de aplicaciones auxiliares integradas, parece ser un cambio deliberado para eludir métodos de detección más avanzados. A pesar de este cambio, el actor de amenazas sigue basándose en indicadores conocidos:

  • Reutilización de nombres de dominio y nombres de archivos
  • Orientación coherente de herramientas de acceso remoto y de bases de datos
  • Técnicas conocidas de persistencia y balizamiento

Estos indicadores reflejan una estrategia probada, que sigue siendo eficaz en sistemas que carecen de una sólida seguridad de puntos finales.

Conclusión: Una amenaza constante para el ecosistema macOS

La última variante de ZuRu refuerza una tendencia preocupante: sofisticadas amenazas para macOS dirigidas a desarrolladores y profesionales de TI. Al explotar la confianza en herramientas populares y adaptar sus métodos de distribución, este malware continúa eludiendo las defensas en entornos con protección insuficiente.

Las organizaciones y las personas deben permanecer alertas, priorizar el uso de fuentes de software verificadas e implementar seguridad en capas para detectar y neutralizar amenazas como ZuRu.

Tendencias

Mas Visto

Cargando...