複数ライセンス割引見積
脅威データベース Mac マルウェア ZuRu Macマルウェア

ZuRu Macマルウェア

Mac マルウェアMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、悪名高いmacOSマルウェア「ZuRu」と新たな攻撃キャンペーンとの関連を示す新たな証拠を発見しました。トロイの木馬化されたソフトウェアを介してシステムに侵入することで知られるZuRuは、常に進化を続け、最新の技術とツールを駆使して、無防備なユーザーを狙っています。

信頼できるツールを装う

2025年5月下旬、ZuRuがクロスプラットフォームSSHクライアント兼サーバー管理ツールであるTermiusを偽装しているのが確認されました。これは、ZuRuが正規のmacOSアプリケーションを装って開発者やIT環境に感染する一連の悪意あるキャンペーンの最新の動きです。2021年9月に中国のQ&AプラットフォームZhihuでiTerm2の検索結果を乗っ取った際に初めて確認されて以来、このマルウェアはリモートアクセスやデータベース管理ソリューションを求めるユーザーを常に標的にしています。

この戦術はスポンサードサーチに大きく依存しており、脅威アクターは既にそのようなツールを探している個人に好機を捉えてアクセスすることができます。このアプローチにより、広範な検出を回避しながら感染の成功率を高めることができます。

海賊版ソフトウェアから汚染されたディスクイメージまで

2024年1月までに、ZuRuはMicrosoftのリモートデスクトップ、SecureCRT、Navicatといった人気のmacOSソフトウェアの海賊版にも潜んでいることが確認されました。現在、研究者らは、改ざんされたTermius.appのコピーを含む破損した.dmgディスクイメージにZuRuが関連していることを明らかにしています。

この改変されたアプリケーションバンドルは、macOSのコード署名保護を回避するために、元の開発者のコード署名をアドホック署名に置き換えます。このバンドルには、以下の2つの主要コンポーネントが埋め込まれています。

  • .localized: download.termius.info から Khepri C2 ビーコンを取得して起動する悪意のあるローダー。
  • .Termius Helper1: 悪意のある動作を隠すために使用される、正規の Termius Helper アプリのブランド変更バージョン。

これらの実行ファイルは Termius Helper.app 内に隠されており、その統合は、.dylib ファイルをアプリケーション バンドルに直接挿入するという ZuRu の古い方法からの変更を表しています。

永続性と更新メカニズム

.localized ローダーはペイロードの取得だけでなく、/tmp/.fseventsd にマルウェアが存在するかどうかを確認し、既存のインストールの有無も確認します。現在のペイロードの MD5 ハッシュをリモートでホストされているものと比較し、不一致があれば新しいバージョンをダウンロードします。この自己チェックと更新機能により、悪意のあるコードの整合性と最新性の両方が確保されていると考えられます。

ケプリの武器化:搾取後のスイスアーミーナイフ

この攻撃の中核を成すのは、オープンソースのエクスプロイト後ツールキットであるKhepriの改変版です。この改変版ツールは、攻撃者に侵入したmacOSホストに対する広範な制御権を与えます。具体的には、以下のような権限です。

  • ファイル転送
  • システム偵察
  • システムプロセスの実行と管理
  • リアルタイム出力取得によるコマンド実行

通信は C2 サーバー ctl01.termius.fun を介して維持され、感染したマシンを継続的に制御できるようになります。

攻撃手法の進化

ZuRuが.dylibインジェクションから組み込みヘルパーアプリへのトロイの木馬化へと進化したのは、より高度な検出手法を回避するための意図的な変更であるように思われます。しかし、この変化にもかかわらず、脅威アクターは依然として既知の指標に依存しています。

  • ドメイン名とファイル名の再利用
  • リモートアクセスとデータベースツールの一貫したターゲット
  • 既知の持続性とビーコン技術

これらの指標は、強力なエンドポイント セキュリティが欠如しているシステムでも効果を発揮する、実証済みのプレイブックを反映しています。

結論:macOSエコシステムへの継続的な脅威

最新のZuRu亜種は、開発者やITプロフェッショナルを標的とした高度なmacOS脅威という懸念すべき傾向を改めて浮き彫りにしています。このマルウェアは、一般的なツールへの信頼を悪用し、配信方法を巧妙に変化させることで、十分に保護されていない環境でも防御を回避し続けています。

組織や個人は警戒を怠らず、検証済みのソフトウェア ソースの使用を優先し、階層化されたセキュリティを実装して、ZuRu のような脅威を検出して無効化する必要があります。

トレンド

トランプコインエアドロップ詐欺

不正なウェブサイト
デジタル通貨が金融のあり方を大きく変えつつある時代において、この分野を悪用するオンライン詐欺の数が急増しています。ブロックチェーン取引の匿名性、分散性、そして不可逆性は、仮想通貨をサイバー犯罪者にとって魅力的な標的にしています。そのため、ユーザーはオンラインの仮想通貨空間を利用する際に、常に細心の注意を払う必要があります。そうしないと、壊滅的な経済的損失やデジタル資産の侵害につながる可能性が...

Ijony.click

不正なウェブサイト, アドウェア
インフォセックの研究者は、Ijony.click ページがオンライン戦術を実行するためのプラットフォームとしてオペレーターによって使用される不正な Web サイトであることを確認しました。実際、このサイトでは、訪問者をだますために、信頼できる情報セキュリティ ソースから発信されたかのように提示される、多数の偽のセキュリティ警告が表示されていることが観察されています。これらの疑わしいページは、...

注文詐欺

マルウェア, フィッシング, スパム
デジタル時代において、メールは依然として最も一般的なコミュニケーションツールの一つであると同時に、最も悪用されるツールの一つでもあります。オンラインで蔓延する無数の悪質なメールキャンペーンの中でも、いわゆる「注文依頼詐欺」は、サイバー犯罪者が欺瞞とソーシャルエンジニアリングを駆使してマルウェアを拡散し、被害者のシステムに侵入する手法を如実に示しています。このキャンペーンは、説得力のあるメッセ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,430
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
46,715
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,962
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...