Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants pour Mac Logiciel malveillant ZuRu pour Mac

Logiciel malveillant ZuRu pour Mac

Par Mezo en Logiciels malveillants pour Mac
Se traduisent par :

Des chercheurs en cybersécurité ont découvert de nouvelles preuves reliant le célèbre malware macOS ZuRu à de nouvelles campagnes d'attaques. Connu pour infiltrer les systèmes via des logiciels trojanisés, ZuRu continue d'évoluer, exploitant des techniques et des outils actualisés pour compromettre les utilisateurs peu méfiants.

Se faire passer pour des outils fiables

Fin mai 2025, ZuRu a été repéré en train d'usurper l'identité de Termius, un outil multiplateforme de gestion de clients et de serveurs SSH. Il s'agit de la dernière étape d'une série de campagnes malveillantes où ZuRu se fait passer pour des applications macOS légitimes afin d'infecter des environnements de développement et informatiques. Depuis sa première apparition connue en septembre 2021, lorsqu'il a détourné les résultats de recherche iTerm2 sur la plateforme chinoise de questions-réponses Zhihu, le malware a systématiquement ciblé les utilisateurs à la recherche de solutions d'accès à distance et de gestion de bases de données.

Cette tactique s'appuie fortement sur des résultats de recherche sponsorisés, permettant aux pirates d'atteindre de manière opportuniste des individus déjà à la recherche de tels outils. Cette approche augmente les chances de réussite d'une infection tout en évitant une détection plus large.

Des logiciels piratés aux images de disque empoisonnées

En janvier 2024, ZuRu avait également été repéré caché dans des versions piratées de logiciels macOS populaires tels que Remote Desktop de Microsoft, SecureCRT et Navicat. Des chercheurs ont désormais établi un lien avec une image disque .dmg corrompue contenant une copie falsifiée de Termius.app.

Ce bundle d'application modifié remplace la signature de code du développeur d'origine par une signature ad hoc permettant de contourner les protections de signature de code macOS. Il intègre deux composants clés :

  • .localisé : un chargeur malveillant qui récupère et lance une balise Khepri C2 depuis download.termius.info.
  • .Termius Helper1 : une version renommée de l'application légitime Termius Helper, utilisée pour masquer le comportement malveillant.

Ces exécutables sont cachés dans Termius Helper.app, et leur intégration représente un changement par rapport à l'ancienne méthode de ZuRu consistant à injecter des fichiers .dylib directement dans les bundles d'applications.

Mécanismes de persistance et de mise à jour

Le chargeur .localized ne sert pas seulement à récupérer les charges utiles : il vérifie également les installations existantes en vérifiant la présence du malware dans /tmp/.fseventsd. Il compare le hachage MD5 de la charge utile actuelle à celui hébergé à distance, téléchargeant une nouvelle version en cas de discordance. Cette fonction d'auto-vérification et de mise à jour garantit probablement l'intégrité et la validité du code malveillant.

Armer Khepri : un couteau suisse post-exploitation

Au cœur de cette attaque se trouve une version modifiée de Khepri, un outil open source de post-exploitation. Cet outil adapté confère aux attaquants un contrôle étendu sur les hôtes macOS compromis, notamment :

  • Transferts de fichiers
  • Reconnaissance du système
  • Exécution et gestion des processus système
  • Exécution de commandes avec récupération de sortie en temps réel

La communication est maintenue via le serveur C2 ctl01.termius.fun, permettant un contrôle continu sur les machines infectées.

Évolution des techniques d’attaque

La progression de ZuRu, passant de l'injection de .dylib à la prolifération de chevaux de Troie sur des applications d'assistance intégrées, semble être une stratégie délibérée visant à contourner des méthodes de détection plus avancées. Malgré ce changement, l'acteur malveillant continue de s'appuyer sur des indicateurs familiers :

  • Réutilisation des noms de domaine et des noms de fichiers
  • Ciblage cohérent des outils d'accès à distance et de base de données
  • Techniques connues de persistance et de balisage

Ces indicateurs reflètent un manuel éprouvé, qui reste efficace dans les systèmes dépourvus de sécurité renforcée des points de terminaison.

Conclusion : une menace permanente pour l’écosystème macOS

La dernière variante de ZuRu renforce une tendance inquiétante : des menaces macOS sophistiquées ciblant les développeurs et les professionnels de l'informatique. En exploitant la confiance accordée aux outils populaires et en adaptant leurs méthodes de diffusion, ce malware continue de contourner les défenses des environnements insuffisamment protégés.

Les organisations et les particuliers doivent rester vigilants, privilégier l’utilisation de sources logicielles vérifiées et mettre en œuvre une sécurité en couches pour détecter et neutraliser les menaces comme ZuRu.

Tendance

Le plus regardé

Chargement...