ZuRu Mac Malware
كشف باحثو الأمن السيبراني عن أدلة جديدة تربط برنامج ZuRu الخبيث سيئ السمعة لنظام macOS بحملات هجومية جديدة. يُعرف ZuRu بقدرته على اختراق الأنظمة عبر برامج مُجهّزة بأحصنة طروادة، وهو يواصل تطوره، مستفيدًا من تقنيات وأدوات مُحدّثة لاختراق المستخدمين غير المُنتبهين.
جدول المحتويات
التنكر كأدوات جديرة بالثقة
في أواخر مايو 2025، شوهد برنامج ZuRu وهو ينتحل صفة Termius، وهي أداة لإدارة عملاء وخوادم SSH متعددة المنصات. ويمثل هذا أحدث خطوة في سلسلة من الحملات الخبيثة التي ينتحل فيها ZuRu صفة تطبيقات macOS شرعية لإصابة بيئات المطورين وتكنولوجيا المعلومات. منذ ظهوره الأول المعروف في سبتمبر 2021، عندما اخترق نتائج بحث iTerm2 على منصة الأسئلة والأجوبة الصينية Zhihu، استهدف البرنامج الخبيث باستمرار المستخدمين الذين يبحثون عن حلول للوصول عن بُعد وإدارة قواعد البيانات.
يعتمد هذا التكتيك بشكل كبير على نتائج البحث المدعومة، مما يسمح للجهات الفاعلة بالوصول بشكل انتهازي إلى الأفراد الذين يبحثون بالفعل عن مثل هذه الأدوات. يزيد هذا النهج من احتمالية الإصابة الناجحة مع تجنب الكشف على نطاق أوسع.
من البرامج المقرصنة إلى صور الأقراص المسمومة
بحلول يناير 2024، رُصدت ZuRu أيضًا مختبئة في إصدارات مقرصنة من برامج macOS الشائعة، مثل Microsoft Remote Desktop وSecureCRT وNavicat. والآن، ربطها الباحثون بصورة قرص .dmg تالفة تحتوي على نسخة مُعدّلة من Termius.app.
تستبدل حزمة التطبيقات المعدّلة هذه توقيع كود المطور الأصلي بتوقيع مخصص لتجاوز حماية توقيع كود macOS. وتتضمن مكونين رئيسيين:
- .localized: أداة تحميل ضارة تقوم بجلب وإطلاق منارة Khepri C2 من download.termius.info.
- .Termius Helper1: إصدار جديد من تطبيق Termius Helper الشرعي، يستخدم لإخفاء السلوك الضار.
يتم إخفاء هذه الملفات القابلة للتنفيذ داخل Termius Helper.app، ويمثل تكاملها تغييرًا عن طريقة ZuRu القديمة في حقن ملفات .dylib مباشرة في حزم التطبيقات.
آليات الاستمرار والتحديث
لا يُستخدم مُحمّل .localized لجلب الحمولات فحسب، بل يتحقق أيضًا من وجود تثبيتات موجودة من خلال التحقق من وجود البرمجية الخبيثة في /tmp/.fseventsd. يُقارن تجزئة MD5 للحمولة الحالية بالنسخة المُستضافة عن بُعد، ويُنزّل إصدارًا جديدًا في حال وجود أي تطابق. تضمن وظيفة الفحص والتحديث الذاتي هذه على الأرجح سلامة وحداثة الشيفرة الخبيثة.
تسليح الخبري: سكين الجيش السويسري بعد الاستغلال
يعتمد هذا الهجوم على نسخة معدلة من Khepri، وهي مجموعة أدوات مفتوحة المصدر تُستخدم بعد الاستغلال. تمنح هذه الأداة المُعدّلة المهاجمين سيطرة واسعة على أجهزة macOS المُخترقة، بما في ذلك:
- نقل الملفات
- استطلاع النظام
- تنفيذ وإدارة عمليات النظام
- تنفيذ الأوامر مع استرجاع المخرجات في الوقت الفعلي
يتم الحفاظ على الاتصال من خلال خادم C2 ctl01.termius.fun، مما يتيح التحكم المستمر في الأجهزة المصابة.
تطور تقنيات الهجوم
يبدو أن تطور ZuRu من حقن .dylib إلى استخدام أحصنة طروادة في تطبيقات المساعدة المضمنة هو تحول متعمد يهدف إلى تجاوز أساليب الكشف الأكثر تقدمًا. على الرغم من هذا التغيير، لا يزال مُهَدِّد التهديد يعتمد على مؤشرات مألوفة:
- إعادة استخدام أسماء النطاقات وأسماء الملفات
- الاستهداف المتسق لأدوات الوصول عن بعد وقواعد البيانات
- تقنيات المثابرة والإرشاد المعروفة
تعكس هذه المؤشرات دليلاً إرشادياً مثبتاً، يظل فعالاً في الأنظمة التي تفتقر إلى أمان قوي لنقاط النهاية.
الاستنتاج: تهديد مستمر لنظام macOS البيئي
يُعزز أحدث إصدار من ZuRu اتجاهًا مُقلقًا: تهديدات مُعقدة لنظام macOS تستهدف المطورين وخبراء تكنولوجيا المعلومات. باستغلال الثقة في الأدوات الشائعة وتكييف أساليب النشر، يواصل هذا البرنامج الخبيث تجاوز الدفاعات في بيئات تفتقر إلى الحماية الكافية.
ينبغي على المنظمات والأفراد أن يظلوا يقظين، وأن يعطوا الأولوية لاستخدام مصادر البرامج التي تم التحقق منها، وأن ينفذوا أمانًا متعدد الطبقات للكشف عن التهديدات مثل ZuRu وتحييدها.
