بدافزار ZuRu برای مک

محققان امنیت سایبری شواهد جدیدی را کشف کرده‌اند که بدافزار بدنام ZuRu برای macOS را به کمپین‌های حمله جدید مرتبط می‌کند. ZuRu که به خاطر نفوذ به سیستم‌ها از طریق نرم‌افزارهای تروجان‌دار شناخته می‌شود، همچنان در حال تکامل است و از تکنیک‌ها و ابزارهای به‌روز شده برای به خطر انداختن کاربران ناآگاه استفاده می‌کند.

خود را به عنوان ابزارهای قابل اعتماد جا می‌زنند

در اواخر ماه مه ۲۰۲۵، ZuRu در حال جعل هویت Termius، یک ابزار مدیریت سرور و کلاینت SSH چند پلتفرمی، مشاهده شد. این آخرین حرکت در مجموعه‌ای از کمپین‌های مخرب است که در آن ZuRu خود را به عنوان برنامه‌های مشروع macOS جا می‌زند تا محیط‌های توسعه‌دهندگان و فناوری اطلاعات را آلوده کند. از زمان اولین حضور شناخته‌شده‌اش در سپتامبر ۲۰۲۱، زمانی که نتایج جستجوی iTerm2 را در پلتفرم پرسش و پاسخ چینی Zhihu ربود، این بدافزار به طور مداوم کاربرانی را که به دنبال دسترسی از راه دور و راه‌حل‌های مدیریت پایگاه داده هستند، هدف قرار داده است.

این تاکتیک به شدت به نتایج جستجوی حمایت‌شده متکی است و به عاملان تهدید اجازه می‌دهد تا به صورت فرصت‌طلبانه به افرادی که در حال حاضر به دنبال چنین ابزارهایی هستند، دسترسی پیدا کنند. این رویکرد احتمال آلودگی موفقیت‌آمیز را افزایش می‌دهد و در عین حال از شناسایی گسترده‌تر جلوگیری می‌کند.

از نرم‌افزارهای غیرقانونی گرفته تا تصاویر دیسک آلوده

تا ژانویه ۲۰۲۴، ZuRu همچنین در نسخه‌های غیرقانونی نرم‌افزارهای محبوب macOS مانند Remote Desktop مایکروسافت، SecureCRT و Navicat پنهان شده بود. اکنون، محققان آن را به یک تصویر دیسک .dmg خراب که حاوی یک کپی دستکاری شده از Termius.app است، مرتبط دانسته‌اند.

این بسته‌ی نرم‌افزاری تغییر یافته، امضای کد توسعه‌دهنده‌ی اصلی را با یک امضای موقت جایگزین می‌کند تا از محافظت‌های امضای کد macOS عبور کند. دو جزء کلیدی در آن تعبیه شده است:

• .localized: یک بارگذار مخرب که یک سیگنال Khepri C2 را از download.termius.info دریافت و اجرا می‌کند.
• .Termius Helper1: نسخه‌ای تغییر نام یافته از برنامه‌ی قانونی Termius Helper که برای پنهان کردن رفتار مخرب استفاده می‌شود.

این فایل‌های اجرایی درون Termius Helper.app پنهان شده‌اند و ادغام آن‌ها نشان‌دهنده‌ی تغییری نسبت به روش قدیمی‌تر ZuRu در تزریق مستقیم فایل‌های .dylib به بسته‌های نرم‌افزاری است.

مکانیسم‌های ماندگاری و به‌روزرسانی

لودر .localized فقط برای دریافت فایل‌های مخرب استفاده نمی‌شود، بلکه با تأیید وجود بدافزار در /tmp/.fseventsd، نصب‌های موجود را نیز بررسی می‌کند. این لودر هش MD5 فایل مخرب فعلی را با فایلی که از راه دور میزبانی می‌شود مقایسه می‌کند و در صورت عدم تطابق، نسخه جدیدی را دانلود می‌کند. این عملکرد خودآزمایی و به‌روزرسانی احتمالاً هم یکپارچگی و هم به‌روز بودن کد مخرب را تضمین می‌کند.

سلاح‌سازی خپری: یک چاقوی ارتش سوئیس پس از استثمار

در هسته این حمله، یک نسخه اصلاح‌شده از Khepri، یک ابزار متن‌باز پس از بهره‌برداری، قرار دارد. این ابزار اصلاح‌شده به مهاجمان کنترل گسترده‌ای بر میزبان‌های macOS آسیب‌دیده می‌دهد، از جمله:

• انتقال فایل
• شناسایی سیستم
• اجرا و مدیریت فرآیندهای سیستم
• اجرای دستور با بازیابی خروجی در لحظه

ارتباط از طریق سرور C2 به نام ctl01.termius.fun برقرار می‌شود و امکان کنترل مداوم بر روی دستگاه‌های آلوده را فراهم می‌کند.

تکامل تکنیک‌های حمله

به نظر می‌رسد پیشرفت ZuRu از تزریق .dylib به تروجان‌سازی برنامه‌های کمکی تعبیه‌شده، یک تغییر عمدی با هدف دور زدن روش‌های تشخیص پیشرفته‌تر است. با وجود این تغییر، عامل تهدید همچنان به شاخص‌های آشنا تکیه می‌کند:

• استفاده مجدد از نام دامنه‌ها و نام فایل‌ها
• هدف‌گیری مداوم ابزارهای دسترسی از راه دور و پایگاه داده
• تکنیک‌های شناخته‌شده‌ی پایداری و راهنمایی

این شاخص‌ها منعکس‌کننده‌ی یک دستورالعمل اثبات‌شده هستند، دستورالعملی که در سیستم‌هایی که فاقد امنیت قوی برای نقاط پایانی هستند، همچنان مؤثر باقی می‌ماند.

نتیجه‌گیری: یک تهدید مداوم برای اکوسیستم macOS

آخرین نوع ZuRu یک روند نگران‌کننده را تقویت می‌کند: تهدیدات پیچیده macOS که توسعه‌دهندگان و متخصصان فناوری اطلاعات را هدف قرار می‌دهد. این بدافزار با سوءاستفاده از اعتماد به ابزارهای محبوب و تطبیق روش‌های توزیع، همچنان به دور زدن دفاع‌ها در محیط‌های با حفاظت ناکافی ادامه می‌دهد.

سازمان‌ها و افراد باید هوشیار باشند، استفاده از منابع نرم‌افزاری تأیید شده را در اولویت قرار دهند و امنیت لایه‌ای را برای شناسایی و خنثی‌سازی تهدیدهایی مانند ZuRu پیاده‌سازی کنند.