ZuRu zararli dasturining yangi varianti Termius ilovasiga yashirinib, macOS foydalanuvchilariga hujum qilmoqda

2025-yilning may oyida kiberxavfsizlik sohasida jiddiy xavotir uyg‘otgan yangi bir tahdid yuzaga chiqdi. “ZuRu” nomi bilan tanilgan zararli dastur (malware)ning ilgari noma’lum varianti macOS foydalanuvchilarini nishonga olmoqda. Eng xavflisi shundaki, bu safar hujumlar foydalanuvchilarning ishonchini qozongan mashhur Termius SSH mijoz dasturiga “troyan” ko‘rinishida joylashtirilgan.

Tahdid kimlarga qaratilgan?

Ushbu kampaniya ayniqsa dasturchilar, backend muhandislar, va tizim administratorlari kabi texnik mutaxassislarga qaratilgan bo‘lib, ular ko‘pincha SSH va masofaviy kirish vositalaridan foydalanadilar. Oldingi yillarda ZuRu zararli dasturi Baidu qidiruv tizimida zaharlangan havolalar orqali tarqatilgan edi. Bu gal esa tahdid darajasi yanada chuqurlashdi: xakerlar to‘g‘ridan-to‘g‘ri mashhur ilovani modifikatsiya qilib, uni qurollashtirish yo‘liga o‘tishdi.

Termius ilovasi qanday qilib qurollashtirildi?

Soxta Termius ilovasi asl nusxaga o‘xshash tarzda yig‘ilgan va 248 MB hajmga ega — bu rasmiy versiyadan 23 MB katta. Bu ortiqcha hajm zararli binar fayllar bilan to‘ldirilganini anglatadi. Xavfli jihatlar:

  • Ilova ichidagi Termius Helper.app komponenti o‘zgartirilgan;
  • Asl 248KB hajmdagi binar .Termius Helper1 nomi bilan yashirilgan, uning o‘rniga esa 25MB zararli nusxa joylashtirilgan;
  • Ilovani ishga tushirganda foydalanuvchi rasmiy funksional imkoniyatlarni ko‘radi, biroq aslida orqa fonda zararli yuklovchi .localized avtomatik ishga tushadi.

Doimiylik va yashirin faoliyat: ustalik bilan yasalgan mexanizm

Zararli yuklovchi tizimda LaunchDaemon nomli xizmatni yaratadi va uni com.apple.xssooxxagent deb nomlaydi. Bu daemon har soatda bir marta quyidagi yo‘ldan ishga tushadi:

/Users/Shared/com.apple.xssooxxagent

U shifrlangan yuklamani quyidagi manzildan yuklab oladi:

download.termius[.]info/bn.log.enc

Va maxsus my_secret_key kaliti yordamida uni shifrdan chiqaradi. Natijada Khepri deb nomlangan C2 beacon (/tmp/.fseventsd manziliga yoziladi) faol bo‘ladi. U har 5 soniyada C2 serverga quyidagi manzil orqali signal yuboradi:

ctl01.termius[.]fun :53

Shuningdek, xakerlar DNS porti (53) orqali aloqa qilganliklari sababli, bu harakatlar ko‘plab xavfsizlik vositalaridan yashirin o‘tib ketadi. Diqqatni chalg‘itish uchun esa quyidagi domenga soxta murojaatlar yuboriladi:

www.baidu[.]com

Ushbu hodisa shuni ko‘rsatmoqdaki, kiberjinoyatchilar tobora murakkabroq yo‘llar bilan hujumlarni amalga oshirmoqda. Endi zararli dasturlar faqatgina noma’lum manbalardan emas, balki ishonchli ko‘ringan ilovalar orqali ham tarqatilmoqda. ZuRu ning Termius orqali tarqalgan varianti buni yaqqol isbotlaydi.

Mutaxassislar quyidagilarni tavsiya etmoqda:

  • Ilovalarni faqat rasmiy App Store yoki ishlab chiquvchilarning ishonchli saytlaridan yuklab oling;
  • Disk image (DMG) hajmi g‘ayrioddiy bo‘lsa, ogoh bo‘ling;
  • MacOS tizimida real vaqtli endpoint himoya vositalaridan foydalaning;
  • Shubhali .app yoki .dmg fayllarni sinov muhiti (sandbox)da tekshirib ko‘ring;
  • Ilova imzosini tekshiring: ad hoc imzo ishlatilgan ilovalarga ishonmang.