ZuRu Malware (Mac)

¿Qué tipo de malware es ZuRu?

ZuRu es un software malicioso dirigido a macOS (sistema operativo Mac). Se clasifica como un backdoor, un tipo de malware que abre «puertas traseras» en los sistemas para provocar más infecciones, y algunos son capaces de infiltrar contenido malicioso adicional.

Las múltiples versiones de ZuRu se han propagado a través de diversas campañas que se basaban principalmente en aplicaciones legítimas que eran troyanizadas y en técnicas de envenenamiento de motores de búsqueda.

Detecciones de malware ZuRu en VirusTotal

Descripción general del malware ZuRu

La variante inicial de ZuRu se descubrió en 2021; tanto esta como las que le siguieron se infiltraron en los sistemas como aplicaciones troyanizadas. La última versión se encontró en mayo de 2025 y llegó a los sistemas dentro de un Termius troyanizado, un cliente SSH (Secure Shell Protocol) multiplataforma.

A continuación se ofrece una descripción general de la cadena de infección y las capacidades de esta nueva variante de ZuRu. El malware es compatible con las versiones de macOS Sonoma 14.1 y posteriores. Esta puerta trasera tiene una cadena de infección de varias etapas. La aplicación Termius modificada está contenida en un archivo DMG (Apple Disk Image). También incluye binarios maliciosos destinados a propagar la infección. La firma del programa troyanizado se cambia y la que la sustituye está diseñada para eludir las medidas de seguridad adecuadas de macOS.

La infección progresa mediante el establecimiento de un cargador, lo que garantiza que el comportamiento de la aplicación modificada se ajuste a las expectativas del usuario, y mediante la descarga de un implante Khepri C2 (Khepri es una base de datos para Erlang y Elixir).

Las capacidades de esta baliza C2 son: recopilar datos relevantes del dispositivo y del sistema, transferir archivos, gestionar y ejecutar procesos, así como ejecutar comandos. Cabe destacar la segunda etapa de la cadena de infección de ZuRu, ya que durante la misma se realizan comprobaciones de la carga útil para verificar si está presente y cumple todos los requisitos previos. Esta característica podría utilizarse como medida antimanipulación o mecanismo de actualización de la carga útil.

Cabe mencionar que el malware capaz de causar infecciones en cadena puede, en teoría, infiltrarse en casi cualquier tipo de programa malicioso (por ejemplo, troyanos, ransomware, criptomineros, etc.), pero, en la práctica, tiende a funcionar dentro de ciertas limitaciones/especificaciones.

En resumen, la presencia de software como ZuRu en los dispositivos puede provocar infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

Resumen de amenazas:
Nombre	ZuRu puerta trasera
Tipo de amenaza	Malware para Mac, virus para Mac, puerta trasera.
Nombres de detección	Avast (MacOS:Downloader-DF [Drp]), ESET-NOD32 (OSX/TrojanDownloader.Agent.BD), Ikarus (Trojan-Downloader.OSX.Agent), Kaspersky (HEUR:Trojan-Downloader.OSX.Agent.gen), Lista completa de detecciones (VirusTotal)
Síntomas	El malware está diseñado para infiltrarse sigilosamente en el ordenador de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares en el equipo infectado.
Métodos de distribución	Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, «cracks» de software.
Daños	Robo de contraseñas e información bancaria, suplantación de identidad, incorporación del ordenador de la víctima a una red de bots.
Eliminación de Malware	Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para Windows El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Ejemplos de malware de puerta trasera

Hemos escrito sobre miles de programas maliciosos; NokNok, RShell y macOS.Macma son solo algunos de nuestros últimos artículos sobre puertas traseras para Mac. El software incluido en esta clasificación puede causar una amplia variedad de infecciones, desde el robo de datos hasta el ransomware que cifra archivos.

Sin embargo, independientemente de cómo funcione el malware, su presencia en un sistema amenaza la seguridad del dispositivo y del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.

¿Cómo se instaló ZuRu en mi ordenador?

Como se describe en el artículo anterior, la variante más reciente de ZuRu se infiltró en los sistemas a través de una aplicación Termius troyanizada. Esto concuerda con las versiones anteriores de esta puerta trasera, en las que también se modificaron otras aplicaciones legítimas con el fin de propagarse, entre ellas Microsoft Remote Desktop (versión para Mac), Navicat y SecureCRT. Las aplicaciones comprometidas se distribuyeron a través de SEO poisoning del motor de búsqueda Baidu.

Sin embargo, ZuRu podría añadirse a otros programas genuinos o propagarse bajo la apariencia de estos. El phishing y la ingeniería social son métodos habituales en la distribución de malware.

El malware se propaga principalmente a través de descargas drive-by (sigilosas/engañosas), publicidad maliciosa, software/medios pirateados, canales de descarga poco fiables (por ejemplo, sitios web de software gratuito y alojamiento de archivos gratuito, redes de intercambio P2P, etc.), estafas en línea, archivos adjuntos/enlaces maliciosos en correos electrónicos y mensajes spam, herramientas ilegales de activación de programas («cracks») y actualizaciones falsas.

Además, algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, unidades flash USB, etc.).

¿Cómo evitar la instalación de malware?

Es fundamental actuar con precaución para garantizar su seguridad y la de sus dispositivos. Por lo tanto, descargue solo desde fuentes oficiales y verificadas. Active y actualice los programas utilizando las funciones/herramientas proporcionadas por desarrolladores legítimos, ya que las obtenidas de terceros pueden contener malware.

Además, manténgase alerta cuando navegue por Internet, ya que está lleno de contenido engañoso y malicioso. Trate con cuidado los correos electrónicos y otros mensajes entrantes; no abra archivos adjuntos ni enlaces que se encuentren en correos sospechosos.

Es fundamental tener instalado un antivirus de confianza y mantenerlo actualizado. El software de seguridad debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas detectadas. Si su ordenador ya está infectado, le recomendamos que realice un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente el malware infiltrado.

ZuRu que contiene el instalador troyanizado de Termius:

Configuración de la instalación de la aplicación troyanizada que contiene el malware ZuRu

Aplicación Termius troyanizada que contiene ZuRu:

Malware ZuRu que contiene Termius troyanizada

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

¿Qué es «ZuRu»?
Elimine los archivos y carpetas relacionados con PUA de OSX.

Vídeo que muestra cómo eliminar el adware y los secuestradores de navegador de un ordenador Mac:

Eliminación de aplicaciones potencialmente no deseadas:

Elimine las aplicaciones potencialmente no deseadas de su carpeta «Aplicaciones»:

Eliminación manual de aplicaciones maliciosas de Mac

Haga clic en el icono Finder. En la ventana del Finder, seleccione «Aplicaciones». En la carpeta de aplicaciones, busque «Termius» u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, analice su Mac en busca de componentes no deseados restantes.

DESCARGAR eliminador de infecciones de malware

Combo Cleaner verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Preguntas frecuentes (FAQ)

Mi ordenador está infectado con el malware ZuRu, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?

La eliminación de malware rara vez requiere formatear.

¿Cuáles son los mayores problemas que puede causar el malware ZuRu?

Las amenazas que plantea una infección dependen de las funcionalidades del malware y de los objetivos de los atacantes. ZuRu es una puerta trasera, un tipo de software que prepara los sistemas para futuras infecciones. Por lo general, la presencia de un programa de este tipo en un dispositivo puede provocar infecciones del sistema, graves problemas de privacidad, pérdidas económicas y robo de identidad.

¿Cuál es el objetivo del malware ZuRu?

El malware se utiliza principalmente para generar ingresos. Sin embargo, los atacantes también pueden utilizar software malicioso para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.), participar en hacktivismo y lanzar ataques por motivos políticos o geopolíticos.

¿Cómo se infiltró el malware ZuRu en mi ordenador?

ZuRu se ha propagado a través de software legítimo troyanizado y se ha distribuido mediante SEO poisoning. Existen otros métodos de distribución posibles.

Las técnicas de proliferación de malware más utilizadas incluyen: publicidad maliciosa, correo spam, estafas en línea, descargas drive-by, canales de descarga dudosos (por ejemplo, sitios web de freeware y de terceros, redes de intercambio peer-to-peer, etc.), contenido pirateado, herramientas de activación ilegal de software («cracking») y actualizaciones falsas. Algunos programas maliciosos pueden propagarse por sí mismos a través de redes locales y dispositivos de almacenamiento extraíbles.

¿Combo Cleaner me protegerá del malware?

Combo Cleaner es capaz de detectar y eliminar casi todas las infecciones de malware conocidas. Hay que destacar que es fundamental realizar un análisis completo del sistema, ya que los programas maliciosos de alta gama suelen ocultarse en lo más profundo de los sistemas.