Los investigadores de ciberseguridad han descubierto nuevos artefactos asociados con un malware Apple MacOS llamado Zuru, que se sabe que se propaga a través de versiones troyanizadas de software legítimo.
Sentinelone, en un nuevo informe compartido con The Hacker News, dijo que el malware se ha observado disfrazado de la herramienta de gestión del cliente y servidor de SSH de plataforma cruzada a fines de mayo de 2025.
«El malware de Zuru continúa presionando a los usuarios de MacOS que buscan herramientas comerciales legítimas, adaptando sus técnicas de cargador y C2 para ver a sus objetivos», dijeron los investigadores Phil Stokes y Dinesh Devadoss.
Zuru fue documentado por primera vez en septiembre de 2021 por un usuario en el sitio web chino de preguntas y respuestas Zhihu como parte de una campaña maliciosa que secuestró las búsquedas para ITERM2, una aplicación legítima de terminal MacOS, para dirigir a los usuarios a sitios falsos que engañaron a los usuarios despeje para descargar el malware.
Luego, en enero de 2024, Jamf Amenazas Labs dijo que descubrió una pieza de malware distribuida a través de aplicaciones de macOS pirateas que compartían similitudes con Zuru. Algunos de los otros software popular que ha sido troyano para entregar el malware incluyen el escritorio remoto de Microsoft para Mac, junto con SecureCrt y Navicat.
El hecho de que Zuru se basa principalmente en las búsquedas web patrocinadas para su distribución indica que los actores de amenaza detrás del malware son más oportunistas que el objetivo de sus ataques, al tiempo que garantizan que solo aquellos que buscan conexiones remotas y la gestión de la base de datos estén comprometidos.
Al igual que las muestras detalladas por JAMF, los artefactos de Zuru recientemente descubiertos emplean una versión modificada del conjunto de herramientas de explotación de código abierto conocido como Khepri para permitir a los atacantes obtener el control remoto de los hosts infectados.
«El malware se entrega a través de una imagen de disco .DMG y contiene una versión pirateada del genuino termius.App», dijeron los investigadores. «Desde que se ha modificado el paquete de aplicaciones dentro de la imagen del disco, los atacantes han reemplazado la firma del código del desarrollador con su propia firma ad hoc para aprobar reglas de firma de código MACOS».
La aplicación alterada se realiza en dos ejecutables adicionales dentro de Termius Helper.App, un cargador llamado «.localizado» que está diseñado para descargar y iniciar una baliza de comando y control de Khepri (C2) de un servidor externo («Descargar.Mermius (.) Info») y «.Termius Helper1», que es una versión renombrada de la aplicación real de Termius Helper.
«Si bien el uso de Khepri se vio en versiones anteriores de Zuru, este medio de troyanizar una aplicación legítima varía de la técnica anterior del actor de amenaza», explicaron los investigadores.
«En versiones anteriores de Zuru, los autores de malware modificaron el ejecutable del paquete principal agregando un comando de carga adicional que hace referencia a un .dylib externo, con la biblioteca dinámica que funciona como el cargador para el trasero Khepri y los módulos de persistencia».
Además de descargar el Khepri Beacon, el cargador está diseñado para configurar la persistencia en el host y verifica si el malware ya está presente en una ruta predefinida en el sistema y emplea («/tmp/.fseventsd») y, de ser así, compara el valor de hash MD5 de la carga útil contra la que está alojada en el servidor.
Posteriormente, se descarga una nueva versión si los valores hash no coinciden. Se cree que la característica probablemente sirve como un mecanismo de actualización para obtener nuevas versiones del malware a medida que están disponibles. Pero Sentinelone también teorizó que podría ser una forma de garantizar que la carga útil no haya sido corrompida o modificada después de que se cayera.
La herramienta KHEPRI modificada es un implante C2 lleno de características que permite la transferencia de archivos, el reconocimiento del sistema, la ejecución y el control del proceso, y la ejecución de comandos con captura de salida. El servidor C2 utilizado para comunicarse con la baliza es «CTL01.Mermius (.) Diversión».
«La última variante de MacOS.Zuru continúa el patrón de la amenaza de la trojanización de aplicaciones de macOS legítimas utilizadas por los desarrolladores y profesionales de TI», dijeron los investigadores.
«El cambio en la técnica de la inyección de Dylib hasta la troyanización de una aplicación de ayuda integrada es probablemente un intento de eludir ciertos tipos de lógica de detección. Aun así, el uso continuo del actor de ciertos TTP, desde la elección de aplicaciones objetivo y patrones de nombres de dominio hasta la reutilización de nombres de archivos, persistencia y métodos de hermanos, sugieren que estos están ofreciendo un éxito continuo en los entornos que carecen de protección final suficiente». «.». «.». «.». «.». «.». «