Breaking news : Touché ! Encore un malware sur Mac. Oui, encore. Oui, c’est sérieux. Non, ce n’est pas une théorie du complot Windows. Le nom du coupable ? ZuRu. Une vieille connaissance qui revient, et cette fois, il s’invite via une version piratée ou modifiée de Termius, ce petit client SSH que tant de développeurs et d’admin sys adorent (ou croient télécharger « gratos » sur des forums louches).
Source : Cybersecuritynews
🎣 Un faux Termius, un vrai cheval de Troie
Le schéma est vieux comme Internet mais fonctionne encore en 2025 :
- On télécharge un “Termius Pro” parce qu’on veut éviter les 10 €/mois,
- L’installeur est nickel : il lance le bon Termius, tout semble normal,
- Mais en douce, il colle un binaire malveillant sur la machine,
- Et ce binaire, lui, établit une connexion toutes les 5 secondes avec un serveur de commande distant.
Résultat : t’as ton SSH, mais t’as aussi un backdoor bien persistant. Une double livraison digne d’un bon ransomware-as-a-service.
🛠️ Comment ça marche ?
ZuRu version 2025 est plus vicieux que ses prédécesseurs :
- Il installe un agent dansÂ
/Library/LaunchDaemons/, - Il stocke des fichiers malicieux dans des emplacements discrets commeÂ
/Users/Shared/, - Il utilise une signature ad-hoc pour contourner Gatekeeper (oui, celui censé t’éviter ça),
- Il se vérifie à chaque exécution, et se réinstalle automatiquement si supprimé.
Et bien sûr, il vole des fichiers, exécute des commandes, et maintient un accès distant, même après reboot.
💼 Qui est visé ?
Les « power users ». Ceux qui :
- bossent sur Mac parce que “ça plante jamais”,
- gèrent des clĂ©s SSH comme d’autres gèrent des playlists Spotify,
- installent des outils via des .dmg obscurs ou des torrents “juste pour tester”.
Bref : les devs, les sysadmins, les pentesters, et tous ceux qui veulent aller vite… en prenant un raccourci vers la catastrophe.
🧠Rappel pour les distraits : macOS n’est pas invincible
Le fantasme du “Mac, c’est secure de base” date de l’époque où on synchronisait encore ses iPods avec iTunes. Aujourd’hui :
- Les Mac sont dans les entreprises,
- Connectés aux serveurs AD,
- Avec des accès VPN,
- Utilisés pour coder, pour administrer, pour documenter.
Donc oui, les attaquants s’y intéressent. Non pas pour casser les genoux d’un designer freelance, mais pour pivoter vers l’Active Directory, les serveurs Exchange, ou les bases critiques. Et s’il y a des tokens SSH ou API dans un .env, c’est open bar.
🏢 Quand Mac rencontre Active Directory…
Tu crois que t’as fait une infra hybride cool en mettant quelques Mac dans ton SI Microsoft ? Félicitations. Tu viens d’offrir aux attaquants une passerelle de luxe.
Pourquoi ?
- Beaucoup de solutions EDR/MDR pour Windows ne protègent pas nativement macOS,
- La visibilité sur les postes Apple est souvent réduite,
- Les utilisateurs Mac ont parfois plus de droits que les autres, “parce qu’ils sont techniques”,
- Et surtout… le contrôle d’intégrité, la gestion centralisée, les scripts de remédiation ? Souvent pas en place.
Résultat : si un Mac tombe, c’est l’infra entière qui tousse.
🛑 Ce qu’il faut faire (avant de pleurer)
- Télécharge tes outils sur les sites officiels. Point barre.
- Audit de ton parc Mac : qui a Termius, d’où vient-il, qui l’a installé ?
- Cherche les IoC suivants :
/Library/LaunchDaemons/com.apple.xssooxxagent.plist/Users/Shared/com.apple.xssooxxagent/tmp/.fseventsd,Â/tmp/apple-local-ipc.sock.lock
- Mets en place un EDR compatible macOS, avec surveillance réseau et contrôle des binaires.
- Intègre les postes macOS dans ton SOC, avec les mêmes alertes et niveaux d’attention que pour les Windows.
🧨 Conclusion : Termius piraté, réseau explosé
Le malware ZuRu version 2025 n’est pas juste une énième saleté planquée dans une app. C’est un avertissement : le confort d’un outil non officiel peut coûter l’intégrité de toute ton infra.
Et si tu penses encore que “c’est bon, j’ai un Mac, j’suis safe”…
Tu risques surtout de faire découvrir ton réseau AD à un opérateur chinois avant même d’avoir ouvert ton café.
