L’article, publié par Phil Stokes & Dinesh Devadoss, met en lumière la résurgence du malware ZuRu qui cible les utilisateurs de macOS en trojanisant des applications populaires utilisées par les développeurs et professionnels de l’IT.

Historique et évolution : Initialement découvert en juillet 2021, ZuRu a été distribué via des résultats de recherche empoisonnés sur Baidu, redirigeant les utilisateurs vers des versions trojanisées d’applications comme iTerm2. En 2024, des chercheurs ont identifié l’utilisation du framework open-source Khepri C2 pour les opérations post-infection.

Nouvelle méthode de distribution : En mai 2025, une nouvelle variante a été découverte trojanisant l’application Termius. Le malware est livré via une image disque .dmg contenant une version modifiée de Termius.app, avec des signatures de code ad hoc pour contourner les règles de macOS.

Techniques d’attaque : Le malware utilise un daemon LaunchDaemon pour la persistance et un mécanisme de mise à jour basé sur des vérifications de hash MD5 pour maintenir la charge utile à jour. La détection est rendue difficile par une routine de décryptage modifiée combinant XOR, addition et soustraction.

Indicateurs de compromission (IOCs) :

  • Chemins de fichiers : /Library/LaunchDaemons/com.apple.xssooxxagent.plist, /Users/Shared/com.apple.xssooxxagent
  • Communications réseau : http://download.termius[.]info/bn.log.enc, ctl01.termius[.]fun

L’article est une analyse technique approfondie visant à informer les ingénieurs de détection et les chasseurs de menaces sur les nouvelles variantes du malware ZuRu.

🧠 TTPs et IOCs détectés

TTP

T1071.001 - Application Layer Protocol: Web Protocols, T1543.004 - Create or Modify System Process: Launch Daemon, T1027 - Obfuscated Files or Information, T1070.004 - Indicator Removal on Host: File Deletion, T1204.002 - User Execution: Malicious File

IOC

{‘file_paths’: [’/Library/LaunchDaemons/com.apple.xssooxxagent.plist’, ‘/Users/Shared/com.apple.xssooxxagent’], ‘domains’: [‘download.termius.info’, ‘ctl01.termius.fun’], ‘urls’: [‘http://download.termius[.]info/bn.log.enc’]}

🔗 Source originale : https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/