Especialistas de cibersegurança descobriram uma nova variante do malware ZuRu para macOS, distribuída em maio de 2025 por meio de uma versão trojanizada do Termius, popular cliente SSH e ferramenta de gerenciamento de servidores. O ZuRu já havia sido identificado em 2021, quando campanhas maliciosas redirecionavam buscas por apps como iTerm2 para sites falsos que induziam o download do malware. Em 2024 foram reveladas versões semelhantes espalhadas via aplicativos piratas como Microsoft Remote Desktop, SecureCRT e Navicat.
Na nova campanha, o ZuRu é entregue em um arquivo .dmg que contém o Termius.app modificado. Os invasores substituíram a assinatura de código original por uma assinatura ad hoc para contornar as verificações do macOS. O app adulterado inclui dois executáveis extras: o loader “.localized”, que baixa e executa um beacon Khepri de um servidor externo (download.termius[.]info), e o arquivo “.Termius Helper1”, uma cópia renomeada do aplicativo auxiliar original. Diferente das versões anteriores, que usavam injeção de bibliotecas dinâmicas (Dylib), o novo método explora a adulteração de um app auxiliar.
O loader também verifica se o malware já está presente no sistema, comparando o hash MD5 do payload local com o hospedado no servidor, baixando uma atualização caso haja diferença. O Khepri modificado fornece aos invasores controle remoto completo do sistema infectado, permitindo transferência de arquivos, reconhecimento do sistema, execução de processos e comunicação com o servidor C2 (ctl01.termius[.]fun). A campanha mira usuários que buscam ferramentas de conexão remota e gerenciamento de bancos de dados, aproveitando ambientes sem proteção de endpoint eficaz para se espalhar.
