Ha surgido una nueva variante sofisticada del malware MacOS.Zuru, dirigido a los usuarios de MacOS a través de una versión armada del popular cliente de Termius SSH.
Esta última iteración, descubierta a fines de mayo de 2025, representa una evolución significativa en las tácticas del actor de amenaza, que se va más allá de sus tradicionales campañas de envenenamiento de motores de búsqueda de Baidu para comprometer directamente las aplicaciones legítimas utilizadas por los desarrolladores y los profesionales de TI.
La familia de malware Zuru surgió por primera vez en julio de 2021 cuando un blogger chino identificó versiones troyadas de utilidades de macOS populares que se distribuyen a través de resultados de búsqueda envenenados.
Inicialmente, se dirigen a aplicaciones como ITERM2, SecureCrt y Microsoft Remote Desktop, el malware se ha centrado constantemente en herramientas comúnmente utilizadas por los desarrolladores de backend y los administradores de sistemas que requieren capacidades de conexión SSH y remota.
Investigadores Sentinelone identificado Esta última variante como parte de su monitoreo continuo de las amenazas de MacOS, señalando mejoras técnicas significativas en la metodología de implementación del malware.
Los actores de la amenaza han abandonado su técnica de inyección de biblioteca dinámica anterior a favor de un enfoque más sofisticado que incorpora componentes maliciosos directamente dentro de los procesos auxiliares de la aplicación objetivo.
El termius legítimo (arriba) y el troyano (abajo) con dos binarios adicionales (fuente – Sentinelone)
La aplicación de termius armada llega como un archivo de imagen de disco que mide 248 MB, notablemente más grande que la versión legítima de 225 MB debido a los binarios maliciosos incrustados.
Los atacantes han reemplazado la firma del desarrollador original con su propia firma ad hoc para eludir los requisitos de firma del código MacOS, demostrando su comprensión de los mecanismos de seguridad de Apple.
Esta evolución representa un cambio preocupante hacia un compromiso de aplicación más directo, potencialmente evitando los métodos de detección tradicionales que se centran en la inyección de la biblioteca externa.
El éxito continuo del malware sugiere que los entornos que carecen de protección de punto final robusta siguen siendo vulnerables a estos sofisticados ataques de ingeniería social.
Mecanismo de infección y tácticas de persistencia
El malware emplea un proceso de infección en varias etapas que comienza con la modificación del Legítimo Termius Helper.App Componente.
El binario original de 248 kb de 248 kb de Termius se renombra a .Mermius Helper1, mientras que un enorme reemplazo malicioso de 25 MB ocupa su lugar.
Tras la ejecución, este ayudante troyado lanza la aplicación original para mantener la funcionalidad normal y el cargador de malware .localizado para iniciar la cadena de infección.
El lanzamiento malicioso de lanzamiento se fue de macos.zuru (fuente – Sentinelone)
El cargador establece la persistencia creando un lanzamiento deemon con la etiqueta com.apple.xssooXxagent, programada para ejecutar cada hora de /users/shared/com.apple.xssooXxagent.
Descarga una carga útil cifrada de descargar.termius (.) Info/bn.log.enc usando la clave de descifrado codificada my_secret_key, escribiendo el khepri c2 beacon descifrado a /tmp/.fseventsd.
El Beacon mantiene un latido rápido de 5 segundos con el servidor de comando y control en CTL01.Termius (.) Diversión, utilizando el puerto 53 para combinar con el tráfico DNS legítimo mientras emplea www.baidu (.) Com como dominio señuelo.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
