Mac Apps Trojan Attack: Hackare gömmer trojan i legitima utvecklarverktyg

Mål: Pålitliga Mac-appar infekteras av den smygande trojanen macOS.ZuRu

Den här skadliga programvaran gömmer sig i legitima utvecklarverktyg och lurar både användare och säkerhetssystem.

Så fungerar Mac Apps Trojan Attack

Hackare paketerar ZuRu-trojanen med populära Mac-appar. De manipulerar sökmotorresultat för att marknadsföra dessa komprometterade paket. Nyligen upptäcktes att Termius-appen – en vanlig SSH-klient och serverhanteringsverktyg – var infekterad. När trojanen väl är installerad körs den tyst i bakgrunden och ger angriparna ständig kontroll över offrens enheter. Detta inkluderar fjärrstyrning och nedladdning av ytterligare skadliga filer.

macOS.ZuRu upptäcktes första gången i Kina 2021. Sedan dess har hackare infekterat flera kända utvecklarverktyg som SecureCRT, Navicat och Microsofts Remote Desktop för Mac. Den senaste vågen av attacker använder en ny variant med förbättrade kontrollfunktioner som gör att hackarna kan vara kvar obemärkta.

Attacktekniker och påverkan

Angriparna kringgår macOS kodsignering genom att ersätta utvecklarens ursprungliga signatur med sin egen. Detta lurar system och användare att lita på de komprometterade apparna. Trojanen distribueras via .dmg-diskbilder som ser nästan identiska ut med de legitima apparna men är något större på grund av de skadliga filerna.

När trojanen körs, startar både den och den legitima appen tillsammans för att dölja skadlig aktivitet. Trojanen riktar sig mot Mac-datorer med Sonoma 14.1 eller senare och ger hackare funktioner som filöverföringar, systemspaning, processkontroll och fångst av output. Dessa möjliggör omfattande övervakning och kontroll.

Säkerhetsforskare från SentinelOne varnar för att Mac Apps Trojan Attack utnyttjar svaga endpoint-skydd. Skadlig programvara trivs i miljöer utan starka säkerhetsåtgärder.

Skydd mot Mac Apps Trojan Attack

Användare bör endast ladda ner Mac-appar från officiella eller verifierade källor. Att kontrollera digitala signaturer är avgörande för att upptäcka manipulerade appar. Regelbundna uppdateringar av macOS och säkerhetsprogram minskar riskerna. Utvecklare och organisationer måste stärka sina endpoint-skydd och övervaka misstänkt aktivitet. Medvetenhet och försiktighet är de bästa försvaren mot sådana attacker.