Троян ZuRu вернулся, приняв облик macOS-приложения Termius

Троян ZuRu вернулся, приняв облик macOS-приложения Termius

Троян ZuRu вернулся, приняв облик macOS-приложения Termius

Исчезнув с радаров на полтора года, macOS-троян ZuRu объявился вновь. Анализ семпла, обнаруженного в конце мая, показал, что зловред не только сменил маскировку, но и стал по-другому прятаться в донорском софте.

Вредонос ZuRu, известный ИБ-сообществу с 2021 года, обычно распространяется через взломанные версии легитимных приложений — Терминала macOS, Windows App for Mac Microsoft Remote Desktop (ныне Windows App for Mac), SecureCRT, Navicat.

Образец, подвергнутый анализу в SentinelOne, раздавался в связке с Termius, кросс-платформенным клиентом SSH, предназначенным для управления серверами.

Для доставки модифицированного бандла использовались образы диска (файлы .dmg). Поскольку содержимое было изменено, злоумышленники заменили подпись разработчика кода своей, фиктивной в надежде, что она позволит обойти спецзащиту macOS.

Троянизированная версия Termius.app, по словам аналитиков, отличалась от оригинала большим размером (248 Мбайт против 225) из-за двух добавленных бинарников. Один из них (.localized) оказался загрузчиком маячка Khepri, опенсорсного тулкита постэксплуатации, другой — переименованной копией легитимного Termius Helper, которая должна была создать видимость работы материнского приложения.

 

Вредоносный загрузчик также позволяет трояну закрепиться в зараженной системе: вшитый в код модуль каждый час запускает на исполнение копию .localized, расположенную в папке /Users/Shared/com.apple.xssooxxagent.

Маячок Khepri при активации устанавливает интервал опроса C2-сервера (5 секунд), привязываясь к порту 53, обычно используемому DNS. Его сервер, как выяснилось, спрятан в облаке Alibaba.

Сам приспособленный для атак Khepri-инструмент представляет собой многофункциональный имплант, позволяющий проводить рекогносцировку, управлять процессами, работать с файлами, запускать выполнение команд.

 

Ранее авторы ZuRu, создавая репак, добавляли в оригинал команду на загрузку внешней библиотеки .dylib, которая, в свою очередь, загружала Khepri-бэкдор и спецмодули для обеспечения постоянного присутствия зловреда в системе. Эксперты полагают, что способ троянизации был изменен с целью обхода каких-то конкретных антивирусов.

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru