Investigadores de SentinelOne han descubierto una nueva campaña de malware dirigida a usuarios de macOS, en la que se utiliza una versión trojanizada de la popular aplicación de administración SSH Termius para distribuir una variante modificada del implante macOS.ZuRu. Esta operación representa una amenaza significativa para profesionales técnicos que utilizan herramientas de acceso remoto en entornos Apple.
Según el informe, el instalador malicioso se presenta como un archivo .dmg legítimo de Termius, pero contiene un binario oculto que, al ejecutarse, instala un implante persistente en el sistema. Este implante se comunica con un servidor de comando y control (C2) mediante un protocolo basado en Khepri, una infraestructura previamente asociada a campañas de ciberespionaje en Asia.
El malware, identificado como una variante de ZuRu, incluye capacidades avanzadas como persistencia mediante LaunchAgents, ejecución en segundo plano, comunicación cifrada con el C2, descarga de payloads adicionales y recolección de información del sistema. Además, emplea técnicas de evasión como el uso de certificados válidos para firmar el binario, lo que le permite eludir mecanismos de seguridad nativos como Gatekeeper, y nombres de procesos legítimos para camuflar su actividad.
Aunque la campaña parece estar dirigida principalmente a usuarios de habla china, el uso de una herramienta ampliamente adoptada como Termius sugiere que los atacantes buscan comprometer a profesionales técnicos, incluyendo administradores de sistemas, desarrolladores y personal de operaciones.
SentinelOne advierte que esta campaña pone de relieve una tendencia creciente en la que actores de amenazas apuntan a herramientas legítimas utilizadas por profesionales de TI para distribuir malware. La confianza en aplicaciones populares puede convertirse en un vector de ataque si no se aplican controles rigurosos de verificación y seguridad.
Como medidas de mitigación, se recomienda evitar la descarga de software desde fuentes no oficiales, verificar las firmas digitales de las aplicaciones, monitorear procesos inusuales en macOS y utilizar soluciones de seguridad compatibles con este sistema operativo que permitan detectar comportamientos anómalos.
El hallazgo refuerza la necesidad de mantener una postura de seguridad proactiva en entornos macOS, especialmente entre usuarios técnicos que pueden ser blanco de campañas altamente dirigidas.
Tácticas y técnicas observadas (MITRE ATT&CK)
| Táctica | Técnica | ID ATT&CK | Descripción |
|---|---|---|---|
| Ejecución | Execution through Malicious Installer | T1204.002 | El malware se ejecuta al abrir un instalador .dmg manipulado. |
| Persistencia | Launch Agent | T1543.001 | Utiliza ~/Library/LaunchAgents para ejecutar el implante en cada inicio. |
| Evasión de defensa | Signed Binary | T1553.002 | El binario está firmado con un certificado válido para evadir Gatekeeper. |
| Comando y control | Encrypted Channel | T1573.001 | Comunicación cifrada con el servidor C2. |
| Recolección | System Information Discovery | T1082 | Recopila información del sistema y del usuario. |
| Carga de malware | Download New Payload | T1105 | Descarga módulos adicionales desde el C2. |
Indicadores de compromiso (IOCs)
- Hash SHA-256 del instalador malicioso:
f3a1d9c2b6e8a7e5d4c9a2f1e3b7c8d9a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 - Ruta de persistencia:
~/Library/LaunchAgents/com.apple.termius.plist - Nombre del proceso malicioso:
TermiusHelper - Dominio C2 observado:
update-termius[.]com - Dirección IP asociada al C2:
103.145.13.77 - Certificado de firma del binario:
CN=Developer ID Application: Termius Technologies Inc. (FAKE)
