Uma nova e perigosa variante do malware ZuRu foi identificada em macOS, desta vez disfarçada como o cliente SSH Termius. A ameaça visa especialmente desenvolvedores e administradores, oferecendo um backdoor sofisticado com controle remoto.
Segundo a SentinelOne, a campanha recente — observada em maio de 2025 — distribui uma versão trojanizada do Termius, com loader oculto e beacon de comando e controle (C2) Khepri modificado. O malware instala componentes persistentes, cria um processo “.localized” e executa um helper escondido via LaunchDaemon. Também se conecta a domínios falsos, como ctl01.termius.fun, mascarando-se sob o domínio baidu.com
Este comportamento permite coleta de dados, transferência de arquivos, comandos remotos e potencial movimentação lateral dentro de redes corporativas . O risco aumenta porque o malware visa uma ferramenta amplamente usada em ambientes profissionais, aproveitando-se da confiança dos usuários.
Dica de prevenção
-
Baixe o Termius apenas pelo site oficial ou fontes confiáveis, verificando assinatura e checando hash dos instaladores.
-
Ative soluções de endpoint que detectem alterações não autorizadas em LaunchDaemons e presença de loaders ocultos.
-
Evite baixar software por links patrocinados ou buscas enganosas, como no caso anterior do ZuRu com iTerm2
-
Mantenha sistemas e ferramentas de proteção atualizados, monitorando conexões suspeitas a domínios DNS não autorizados.
A nova variante do ZuRu reforça o alerta: malware sofisticado está cada vez mais voltado a desenvolvedores, disfarçando-se em ferramentas legítimas e criando backdoors persistentes. A conscientização, uso de fontes oficiais e proteção proativa são essenciais para garantir ambientes seguros. Se você busca reforçar sua segurança digital com auditoria, monitoramento e resposta especializadas, a LC SEC pode te ajudar. Acesse lcsec.io.
Compartilhe nas redes sociais:
