O que é a nova variante do malware ZuRu

Uma nova e perigosa variante do malware ZuRu foi identificada em macOS, disfarçada como o cliente SSH Termius. A ameaça visa especialmente desenvolvedores e administradores, oferecendo um backdoor sofisticado com controle remoto.

Como funciona

Segundo a SentinelOne, a campanha recente — observada em maio de 2025 ��� distribui uma versão trojanizada do Termius, com loader oculto e beacon de comando e controle (C2) Khepri modificado. O malware instala componentes persistentes, cria um processo “.localized” e executa um helper escondido via LaunchDaemon.

Além disso, ele se conecta a domínios falsos, como ctl01.termius.fun, mascarando-se sob o domínio baidu.com. Esse comportamento permite coleta de dados, transferência de arquivos, comandos remotos e potencial movimentação lateral dentro de redes corporativas.

Sinais de alerta / Como identificar

O risco aumenta porque o malware visa uma ferramenta amplamente usada em ambientes profissionais, aproveitando-se da confiança dos usuários. Esteja atento a comportamentos anômalos em sistemas que utilizam o Termius.

O que fazer agora / Como se proteger

1. Baixe o Termius apenas pelo site oficial ou fontes confiáveis, verificando assinatura e checando hash dos instaladores.
2. Ative soluções de endpoint que detectem alterações não autorizadas em LaunchDaemons e presença de loaders ocultos.
3. Evite baixar software por links patrocinados ou buscas enganosas, como no caso anterior do ZuRu com iTerm2.
4. Mantenha sistemas e ferramentas de proteção atualizados, monitorando conexões suspeitas a domínios DNS não autorizados.

Prevenção / Boas práticas

A nova variante do ZuRu reforça o alerta: malware sofisticado está cada vez mais voltado a desenvolvedores, disfarçando-se em ferramentas legítimas e criando backdoors persistentes. A conscientização, uso de fontes oficiais e proteção proativa são essenciais para garantir ambientes seguros.