הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנות זדוניות של Mac תוכנות זדוניות למק של ZuRu

תוכנות זדוניות למק של ZuRu

עד Mezo ב-תוכנות זדוניות של Mac
לתרגם ל:

חוקרי אבטחת סייבר חשפו ראיות חדשות המקשרות את תוכנת ה-macOS הידועה לשמצה ZuRu למתקפות חדשות. ZuRu, הידועה בחדירה למערכות באמצעות תוכנות טרויאניות, ממשיכה להתפתח, וממנפת טכניקות וכלים מעודכנים כדי לפגוע במשתמשים תמימים.

מתחזה לכלי עבודה אמינים

בסוף מאי 2025, ZuRu נצפתה כשהיא מתחזה ל-Termius, כלי ניהול לקוח ושרת SSH חוצה פלטפורמות. זהו המהלך האחרון בסדרה של קמפיינים זדוניים שבהם ZuRu מתחזת לאפליקציות macOS לגיטימיות כדי להדביק סביבות מפתחים ו-IT. מאז הופעתה הראשונה הידועה בספטמבר 2021, כאשר חטפה את תוצאות החיפוש של iTerm2 בפלטפורמת שאלות ותשובות הסינית Zhihu, הנוזקה פנתה באופן עקבי למשתמשים המחפשים פתרונות גישה מרחוק וניהול מסדי נתונים.

הטקטיקה מסתמכת במידה רבה על תוצאות חיפוש ממומנות, מה שמאפשר לגורמי האיום להגיע באופן אופורטוניסטי לאנשים שכבר מחפשים כלים כאלה. גישה זו מגדילה את הסבירות לזיהום מוצלח תוך הימנעות מגילוי רחב יותר.

מתוכנה פיראטית ועד תמונות דיסק מורעלות

עד ינואר 2024, ZuRu נצפתה גם כשהיא מסתתרת בגרסאות פיראטיות של תוכנות macOS פופולריות כמו Remote Desktop של מיקרוסופט, SecureCRT ו-Navicat. כעת, חוקרים קישרו אותה לתמונת דיסק פגומה בפורמט .dmg המכילה עותק מופרך של Termius.app.

חבילת יישומים משופרת זו מחליפה את חתימת הקוד המקורית של המפתח בחתימה אד-הוק כדי לעקוף הגנות חתימת קוד של macOS. בתוכה משובצים שני רכיבים מרכזיים:

  • .localized: טוען זדוני שמביא ומפעיל משואת Khepri C2 מ-download.termius.info.
  • .Termius Helper1: גרסה ממותגת מחדש של אפליקציית Termius Helper הלגיטימית, המשמשת להסוות את ההתנהגות הזדונית.

קבצי הרצה אלה מוסתרים בתוך Termius Helper.app, והשילוב שלהם מייצג שינוי מהשיטה הישנה יותר של ZuRu להזרקת קבצי .dylib ישירות לחבילות יישומים.

מנגנוני התמדה ועדכון

טוען הקוד .localized לא משמש רק לאחזור מטענים, הוא גם בודק התקנות קיימות על ידי אימות אם התוכנה הזדונית קיימת ב-/tmp/.fseventsd. הוא משווה את ה-MD5 hash של המטען הנוכחי לזה שמתארח מרחוק, ומוריד גרסה חדשה אם יש אי התאמה. פונקציית בדיקה עצמית ועדכון זו מבטיחה ככל הנראה גם את שלמותו וגם את עדכניותו של הקוד הזדוני.

הכנת חפרי לנשק: אולר שוויצרי לאחר ניצול

בליבת מתקפה זו עומדת גרסה משופרת של Khepri, ערכת כלים בקוד פתוח לניצול מחדש של מערכות הפעלה לאחר ניצול. הכלי המותאם מעניק לתוקפים שליטה רחבה על מארחי macOS שנפגעו, כולל:

  • העברות קבצים
  • סיור מערכתי
  • ביצוע וניהול תהליכי מערכת
  • ביצוע פקודה עם אחזור פלט בזמן אמת

התקשורת מתוחזקת דרך שרת C2 ctl01.termius.fun, מה שמאפשר שליטה רציפה על המכונות הנגועות.

אבולוציה של טכניקות התקפה

נראה כי ההתקדמות של ZuRu מהזרקת .dylib לאפליקציות עזר מוטמעות הפועלות על ידי טרויאנים היא שינוי מכוון שמטרתו לעקוף שיטות גילוי מתקדמות יותר. למרות שינוי זה, גורם האיום ממשיך להסתמך על אינדיקטורים מוכרים:

  • שימוש חוזר בשמות דומיין ושמות קבצים
  • מיקוד עקבי של כלי גישה מרחוק ומסדי נתונים
  • טכניקות ידועות של התמדה ו-beaconing

אינדיקטורים אלה משקפים מדריך מוכח, כזה שנותר יעיל גם במערכות חסרות אבטחת נקודות קצה חזקה.

סיכום: איום מתמשך על מערכת האקולוגיה של macOS

גרסת ZuRu האחרונה מחזקת מגמה מדאיגה: איומי macOS מתוחכמים המכוונים למפתחים ואנשי IT. על ידי ניצול אמון בכלים פופולריים והתאמת שיטות אספקה, תוכנה זדונית זו ממשיכה לעקוף הגנות בסביבות שאינן מוגנות כראוי.

ארגונים ואנשים פרטיים צריכים להישאר ערניים, לתעדף את השימוש במקורות תוכנה מאומתים, וליישם אבטחה שכבתית כדי לזהות ולנטרל איומים כמו ZuRu.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,697
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...