近年来,针对macOS平台的恶意软件攻击逐渐增多,黑客通过各种隐蔽手段入侵用户系统,尤其是面向开发者和IT专业人士的工具软件成为攻击的重点目标。最新发现的ZuRu恶意软件变种再次引起了安全圈的高度关注,该变种通过被篡改的Termius macOS应用传播,深度渗透用户系统,极大地威胁着开发者的工作环境和数据安全。ZuRu最早于2021年9月被披露,最初利用iTerm2终端软件的搜索结果劫持技术,将用户引导至伪造网站以下载恶意软件。近几年,ZuRu持续演进,2024年初更发现其通过盗版软件传播,包括微软远程桌面SecureCRT和数据库管理工具Navicat等广受欢迎的Mac应用。最新变种则瞄准Termius这一跨平台SSH客户端和服务器管理工具,尤其令关注远程连接和数据库管理的用户极为警惕。攻击者通过伪造Termius官方的安装磁盘映像文件(.dmg),将恶意代码隐藏在真实应用程序中,使用自签名的非官方代码签名绕过macOS系统的代码签名验证机制。
安装包内包含多个附加可执行文件,其中托管着经过修改的Khepri后渗透工具,该工具具备文件传输、系统侦察、进程执行及远程命令控制等多项功能,令攻击者能够远程完全控制受感染的设备。新版本中的加载器名为“.localized”,负责从外部服务器下载和激活后门信标程序,同时实现持续驻留和自我更新机制。该更新机制通过检测本地恶意软件的MD5哈希值,确保恶意负载的完整性并自动下载新版本,体现出攻击者的高度隐蔽与持续利用意图。相比之前通过动态库注入进行攻击的版本,最新的变种选择了篡改辅助应用程序作为载体,变换技术路径旨在规避传统检测手段,增加恶意软件在系统内的存活时间。攻击者采用以“termius.info”及“termius.fun”为主的域名进行命令与控制通信,这种域名模式与之前ZuRu活跃期间使用的架构高度一致,帮助安全研究员辨别并追踪攻击源头。此次攻击主要瞄准寻求合法远程连接工具的用户,体现出攻击团伙利用广告赞助搜索结果、非定向广撒网的策略,侧重于开发者和系统管理员等群体,增加受害范围同时降低追踪风险。
此次发现的恶意软件不仅展现出技术上的复杂性,更突显了macOS生态中安全防护的薄弱环节,当前多数终端保护系统未能有效识别篡改后的应用程序,令恶意代码得以长期潜伏。为降低风险,建议用户仅通过官方渠道下载Termius及其他关键开发工具,尤其警惕非官方或盗版软件来源。此外,应启用macOS的系统完整性保护(SIP)及XProtect杀毒功能,定期更新系统及软件,增强多层防御。企业与安全团队需加强对远程访问软件的监测,实施基于行为的安全检测,识别异常连接及文件操作,防范恶意通信与数据外泄。通过分析ZuRu恶意软件的攻击手法,安全社区能更好理解当前钓鱼及软件篡改的新趋势,进而推动安全架构升级,保障开发者与企业用户的数字资产安全。持续关注威胁情报共享以及安全厂商发布的最新防护建议,将有助于在面对包括ZuRu在内的高级威胁时做到及时预防和快速响应。
在未来,随着恶意软件变种手法日益复杂,用户安全意识的提升与安全软件技术的进步将成为抵御此类攻击的关键,保护macOS平台生态健康发展,保障开发者工具的可信赖性。总结而言,ZuRu利用用户对合法业务工具的需求,通过技术迭代不断演进攻击策略,其利用被篡改的Termius应用进行传播的行为,充分表明了当前网络安全形势的严峻。开发者及IT专业人员需加强警惕,采用多维度安全防护措施,维护系统安全与工作效率。
