LONDON (IT BOLTWISE) – Eine neue Variante der ZuRu-Malware hat es auf macOS-Entwickler abgesehen, indem sie sich als legitime Software tarnt. Sicherheitsforscher von SentinelOne haben kürzlich neue Artefakte dieser Malware entdeckt, die sich als die plattformübergreifende SSH-Client- und Server-Management-Software Termius ausgibt.
Die ZuRu-Malware, die erstmals im September 2021 auf der chinesischen Frage-und-Antwort-Website Zhihu dokumentiert wurde, hat sich durch die Manipulation legitimer Software einen Namen gemacht. In der neuesten Entdeckung von SentinelOne tarnt sich die Malware als die beliebte Termius-App, ein SSH-Client und Server-Management-Tool, das von vielen Entwicklern genutzt wird. Diese Tarnung ermöglicht es der Malware, unbemerkt auf macOS-Systeme zu gelangen und dort Schaden anzurichten.
Die Verbreitung der ZuRu-Malware erfolgt hauptsächlich über gesponserte Websuchen, die Nutzer auf gefälschte Websites leiten. Diese Strategie zeigt, dass die Angreifer opportunistisch vorgehen und gezielt Nutzer anvisieren, die nach Remote-Verbindungen und Datenbank-Management-Tools suchen. Neben Termius wurden auch andere beliebte Software wie Microsofts Remote Desktop für Mac, SecureCRT und Navicat als Träger der Malware genutzt.
Ein bemerkenswertes Merkmal der ZuRu-Malware ist die Verwendung des Open-Source-Post-Exploitation-Toolkits Khepri. Dieses Toolkit ermöglicht es Angreifern, die Kontrolle über infizierte Systeme zu übernehmen. Die Malware wird über ein .dmg-Disk-Image verbreitet, das eine manipulierte Version der echten Termius-App enthält. Um die macOS-Code-Signaturregeln zu umgehen, haben die Angreifer die Entwickler-Signatur durch eine eigene ersetzt.
Die modifizierte Termius-App enthält zwei zusätzliche ausführbare Dateien: einen Loader namens “.localized”, der einen Khepri-Command-and-Control-Beacon von einem externen Server herunterlädt und startet, sowie “.Termius Helper1”, eine umbenannte Version der eigentlichen Termius Helper-App. Diese Methode der Trojanisierung unterscheidet sich von früheren Techniken der ZuRu-Malware, bei denen das Hauptbündel-Executable durch Hinzufügen eines zusätzlichen Ladebefehls modifiziert wurde.
Ein weiteres interessantes Merkmal der Malware ist ihr Update-Mechanismus. Der Loader überprüft, ob die Malware bereits auf dem System vorhanden ist, und vergleicht den MD5-Hashwert der Nutzlast mit dem auf dem Server gehosteten. Wenn die Hash-Werte nicht übereinstimmen, wird eine neue Version heruntergeladen. Dies könnte sowohl als Update-Mechanismus als auch zur Sicherstellung der Integrität der Nutzlast dienen.
Die ZuRu-Malware zeigt, wie geschickt Angreifer legitime Anwendungen manipulieren, um ihre Ziele zu erreichen. Die fortgesetzte Nutzung bestimmter Techniken und Methoden deutet darauf hin, dass diese in Umgebungen ohne ausreichenden Endpunktschutz erfolgreich sind. Entwickler und IT-Profis sollten daher besonders wachsam sein und sicherstellen, dass ihre Systeme durch geeignete Sicherheitsmaßnahmen geschützt sind.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Kaufmännischer KI-Manager im Vertrieb (m/w/d) Quereinsteiger willkommen!
Werde KI / IT-Profi (m/w/d) Quereinstieg in Vollzeit, live online und komplett kostenlos!
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Kaufmännischer KI-Manager im Vertrieb (m/w/d) Quereinsteiger willkommen!
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue ZuRu-Malware bedroht macOS-Entwickler durch manipulierte Termius-App" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue ZuRu-Malware bedroht macOS-Entwickler durch manipulierte Termius-App" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue ZuRu-Malware bedroht macOS-Entwickler durch manipulierte Termius-App« bei Google Deutschland suchen, bei Bing oder Google News!