Ένα νέο παραλλαγμένο κακόβουλο λογισμικό για macOS, γνωστό ως ZuRu, στοχεύει χρήστες υπολογιστών Apple, εισχωρώντας σε δημοφιλείς εφαρμογές που χρησιμοποιούνται για απομακρυσμένες συνδέσεις και διαχείριση διακομιστών, σύμφωνα με προειδοποίηση της εταιρείας κυβερνοασφάλειας SentinelOne στις 10 Ιουλίου.
Το ZuRu, που εντοπίστηκε για πρώτη φορά το 2021, έχει εξελιχθεί με την πάροδο του χρόνου και πλέον είναι ικανό να μολύνει περισσότερες εφαρμογές με νέους τρόπους. Η τελευταία του παραλλαγή λειτουργεί αποκλειστικά σε υπολογιστές Mac με το λειτουργικό σύστημα Sonoma 14.1, που κυκλοφόρησε τον Οκτώβριο του 2023, ή το πιο πρόσφατο Sequoia.
Προηγούμενες εκδόσεις του κακόβουλου λογισμικού είχαν εντοπιστεί ενσωματωμένες τόσο σε πειρατικές όσο και σε αυθεντικές εκδόσεις δημοφιλών εργαλείων για προγραμματιστές και επαγγελματίες πληροφορικής, όπως τα SecureCRT, Navicat και Microsoft Remote Desktop για Mac. Πιο πρόσφατα, το ZuRu εντοπίστηκε σε έκδοση της εφαρμογής Termius, η οποία χρησιμοποιείται για τη διαχείριση απομακρυσμένων διακομιστών και ασφαλών συνδέσεων.
Οι ερευνητές Φιλ Στόουκς (Phil Stokes) και Ντινές Ντεβαντός (Dinesh Devadoss) από τη SentinelOne ανέφεραν ότι το νέο δείγμα χρησιμοποιεί διαφορετική μέθοδο για να τροποποιήσει νόμιμες εφαρμογές, προσθέτοντας κακόβουλο κώδικα μαζί με ένα βοηθητικό πρόγραμμα τύπου command-and-control (C2), το οποίο επιτρέπει στους δράστες να ελέγχουν απομακρυσμένα τα «μολυσμένα» Mac.
Όπως σημειώνεται, το συγκεκριμένο C2 implant βασίζεται στο Khepri, ένα εργαλείο ανοιχτού κώδικα σχεδιασμένο για την απομακρυσμένη εκτέλεση εντολών και τη συλλογή πληροφοριών από ένα παραβιασμένο σύστημα. Αφού εγκατασταθεί, το «εμφύτευμα» παρέχει στους κυβερνοεισβολείς τη δυνατότητα μεταφοράς αρχείων, εκτέλεσης προγραμμάτων ή εντολών και λήψης των αποτελεσμάτων τους.
Οι ερευνητές επεσήμαναν ότι η νέα παραλλαγή του macOS.ZuRu συνεχίζει τη γνωστή τακτική των επιτιθέμενων, που βασίζεται στη χρήση νόμιμων εφαρμογών macOS ως μέσο διάδοσης του κακόβουλου λογισμικού. Εκτίμησαν επίσης ότι οι δράστες φαίνεται να εγκαταλείπουν απλούστερες μεθόδους, επιλέγοντας να ενσωματώνουν τον κακόβουλο κώδικα σε βοηθητικά προγράμματα, πιθανώς για να παρακάμψουν τα σύγχρονα συστήματα εντοπισμού απειλών.
Το ZuRu είχε αναφερθεί αρχικά από Κινέζο blogger, ενώ η διανομή του περιελάμβανε και «μολυσμένα» αποτελέσματα αναζήτησης στην κινεζική μηχανή Baidu — κάτι που ενδέχεται να υποδηλώνει ότι η εκστρατεία έχει κινεζική γλωσσική ή γεωγραφική βάση. Σύμφωνα με τη SentinelOne, η υποδομή command-and-control του κακόβουλου λογισμικού χρησιμοποιεί διευθύνσεις IP από το Alibaba Cloud, στοιχείο που υποδεικνύει ενοικίαση διακομιστών που φιλοξενούνται στην Κίνα. Ωστόσο, οι ερευνητές διευκρινίζουν ότι αυτό το δεδομένο δεν αποδεικνύει την υπηκοότητα ή τις διασυνδέσεις των δραστών, καθώς τέτοια υποδομή μπορεί να χρησιμοποιηθεί από οποιονδήποτε παγκοσμίως.
Το FBI είχε προειδοποιήσει το 2024 ότι κυβερνοεισβολείς συνδεδεμένοι με το Κομμουνιστικό Κόμμα Κίνας έχουν διεισδύσει σε κρίσιμες υποδομές των Ηνωμένων Πολιτειών και αναμένουν την κατάλληλη στιγμή για να χτυπήσουν. Ο τότε διευθυντής του FBI, Κρίστοφερ Ρέι, είχε αναφέρει πως οι κινεζικές ομάδες κυβερνοεπιθέσεων έχουν αυξηθεί τα τελευταία χρόνια, ενισχυόμενες από τη στρατιωτική και την κατασκοπευτική μηχανή του κινεζικού κράτους, με την ευρεία χρήση τεχνητής νοημοσύνης.
Ο Ρέι είχε τονίσει ότι οι επιθέσεις των Κινέζων κυβερνοεισβολέων δεν περιορίζονται πλέον στην κλοπή πνευματικής ιδιοκτησίας, αλλά επικεντρώνονται στην παραβίαση κρίσιμων τομέων, όπως η ενέργεια, οι τηλεπικοινωνίες και η ύδρευση, δίνοντας στο Πεκίνο τη δυνατότητα να εξαπολύσει ένα ισχυρό πλήγμα τη στιγμή που θα το κρίνει σκόπιμο.
Πιο πρόσφατα, το FBI και τρεις ακόμη ομοσπονδιακές υπηρεσίες των ΗΠΑ προειδοποίησαν και για ενδεχόμενες ιρανικές κυβερνοεπιθέσεις εναντίον κρίσιμων υποδομών στις ΗΠΑ.
