I ricercatori di cyber sicurezza hanno scoperto nuovi artefatti associati a un malware per Apple macOS, chiamato ZuRu, noto per propagarsi attraverso versioni troianizzate di software legittimi.
SentinelOne, in un nuovo rapporto condiviso con The Hacker News, ha dichiarato di aver osservato il malware mascherato da client SSH multipiattaforma e strumento di gestione server Termius alla fine di maggio scorso.
“Ancora una volta, chi pensa che macOS sia ‘immune’ dai malware dovrebbe aggiornare le proprie convinzioni”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
Ecco perché il malware è insidioso e non conviene sottovalutarlo.
Indice degli argomenti
ZuRu: un toolkit modulare per MacOs
“Il malware ZuRu continua a derubare gli utenti di macOS in cerca di strumenti aziendali legittimi, adattando il suo loader e le tecniche C2 per creare backdoor”, hanno dichiarato i ricercatori Phil Stokes e Dinesh Devadoss.
Un utente del sito cinese di domande e risposte Zhihu ha documentato ZuRu, per la prima volta nel settembre 2021, come parte di una campagna malevola che dirottava le ricerche di iTerm2, un’app legittima per il terminale di macOS, per indirizzare gli utenti verso siti fasulli che ingannavano gli ignari utenti a scaricare il malware.
Nel gennaio 2024, Jamf Threat Labs ha affermato di aver scoperto un malware distribuito tramite applicazioni macOS piratate che condivideva le stesse caratteristiche di ZuRu. Tra gli altri software più popolari troianizzati per diffondere il malware, vi sono Remote Desktop for Mac di Microsoft, SecureCRT e Navicat.
Il fatto che ZuRu si basi principalmente su ricerche web sponsorizzate per la distribuzione indica inoltre che gli attori delle minacce dietro il malware sfruttano più l’opportunismo degli attacchi mirati, assicurandosi di compromettere solo coloro che cercano connessioni remote e gestione di database.
“Zuru non è solo un nuovo malware: è un toolkit modulare pensato per durare, evolversi e colpire in modo chirurgico“, mette in guardia Sandro Sana.
Come i campioni dettagliati da Jamf, gli artefatti ZuRu appena scoperti sfruttano infatti una versione modificata del toolkit open-source di post-exploitation noto come Khepri, per consentire agli aggressori di ottenere il controllo remoto degli host infetti.
“Il malware viene consegnato tramite un’immagine disco .dmg e contiene una versione hackerata dell’autentico Termius.app”, hanno dichiarato i ricercatori. “Poiché il bundle dell’applicazione all’interno dell’immagine del disco è stato modificato, gli aggressori hanno sostituito la firma del codice dello sviluppatore con una propria firma ad hoc per superare le regole di firma del codice di macOS”.
I dettagli
L’applicazione alterata contiene due eseguibili aggiuntivi all’interno di Termius Helper.app, un caricatore denominato “.localized”, progettato per scaricare e lanciare un beacon di comando e controllo (C2) Khepri da un server esterno (“download.termius[.]info”) e “.Termius Helper1”, che è una versione rinominata dell’applicazione Termius Helper vera e propria.
“Mentre l’uso di Khepri è stato riscontrato nelle versioni precedenti di ZuRu, questo mezzo per troianizzare un’applicazione legittima varia rispetto alla tecnica precedente dell’attore delle minacce”, hanno spiegato i ricercatori.
“Nelle versioni precedenti di ZuRu, gli autori del malware hanno modificato l’eseguibile del bundle principale aggiungendo un comando di caricamento aggiuntivo che fa riferimento a una .dylib esterna, con la libreria dinamica che funziona come caricatore per la backdoor Khepri e i moduli di persistenza”.
Oltre a scaricare il beacon di Khepri, il loader è progettato per impostare la persistenza sull’host e controlla se il malware è già presente in un percorso predefinito nel sistema ed employs(“/tmp/.fseventsd”) e, in caso affermativo, confronta il valore hash MD5 del payload con quello ospitato sul server.
Se i valori hash non corrispondono, si scarica una nuova versione. Si ritiene che questa funzione serva probabilmente come meccanismo di aggiornamento per recuperare nuove versioni del malware non appena disponibili.
Ma SentinelOne ha anche ipotizzato che possa essere un modo per garantire che il payload non abbia subito corruzione o modifiche dopo il download.
Come mitigare il rischio
Lo strumento Khepri modificato è un impianto C2 ricco di funzionalità che consente il trasferimento di file, la ricognizione del sistema, l’esecuzione e il controllo di processi e l’esecuzione di comandi con cattura dell’output. Il server C2 utilizzato per comunicare con il beacon è “ctl01.termius[.]fun”.
“Il fatto che sfrutti GitHub come C2 e usi file plist per la persistenza lo rende silenzioso e subdolo”, sottolinea Sandro Sana.
“L’ultima variante di macOS.ZuRu continua il modello di troianizzazione delle applicazioni macOS legittime utilizzate da sviluppatori e professionisti IT”, hanno dichiarato i ricercatori.
Infatti, “la vera notizia è il bersaglio: sviluppatori, ricercatori, probabilmente anche aziende tech”, mette in evidenza Sandro Sana.
“Lo spostamento della tecnica dall’iniezione di Dylib alla troianizzazione di un’applicazione helper incorporata è probabilmente un tentativo di eludere alcuni tipi di logica di rilevamento. Tuttavia, il continuo utilizzo da parte dell’attore di alcuni TTP – dalla scelta delle applicazioni di destinazione e dei modelli di nomi di dominio al riutilizzo dei nomi dei file, alla persistenza e ai metodi di beaconing – suggerisce che questi stanno offrendo un successo continuo in ambienti privi di una sufficiente protezione degli endpoint“.
Mentre “Apple, come sempre, tace, nel frattempo, chi lavora su macOS farebbe bene a smettere di sentirsi al sicuro solo perché ha una mela sul case”, conclude Sana.
Per mitigare il rischio bisogna mantenere i sistemi aggiornati, adottare strategie di Threat Intelligence, Defense in Depth e Zero Trust, dotandosi di una linea di difesa che sia in grado di reagire in tempi sempre più tempestivi. E, soprattutto, coltivare la consapevolezza e non sentirsi mai al sicuro.
