كشف باحثون في مجال الأمن السيبراني عن أدلة رقمية جديدة مرتبطة ببرمجية خبيثة تُعرف باسم ZuRu، والتي تُصيب أجهزة macOS من خلال نسخ مزيفة لتطبيقات معروفة.
في تقرير جديد صادر عن شركة SentinelOne ونُشر عبر “The Hacker News”، تبين أن البرمجية تم رصدها مؤخرًا في صورة نسخة مزيّفة من أداة “Termius” — وهي أداة شهيرة لإدارة الخوادم باستخدام بروتوكول SSH — وذلك في أواخر مايو 2025.
قال الباحثان Phil Stokes وDinesh Devadoss:
“تواصل برمجية ZuRu استهداف مستخدمي macOS الباحثين عن أدوات أعمال مشروعة، إذ تطوّر تقنيات التحميل والتواصل مع خوادم التحكم (C2) لتثبيت أبواب خلفية على الأنظمة المستهدفة.”
تم توثيق ZuRu لأول مرة في سبتمبر 2021، عندما أشار أحد المستخدمين على موقع “Zhihu” الصيني إلى حملة خبيثة تستغل عمليات البحث عن تطبيق iTerm2، وهو تطبيق رسمي لواجهة الأوامر على macOS. هذه الحملة كانت توجّه المستخدمين إلى مواقع وهمية تحمل برمجية خبيثة بدلًا من البرنامج الحقيقي.
وفي يناير 2024، أشارت شركة Jamf Threat Labs إلى وجود برمجية مشابهة تم توزيعها عبر تطبيقات macOS مقرصنة، وتبين أنها تتشارك الخصائص مع ZuRu. من بين التطبيقات الشهيرة التي تم التلاعب بها: “Microsoft Remote Desktop for Mac” و”SecureCRT” و”Navicat”.
وتشير الأدلة إلى أن البرمجية تعتمد بشكل أساسي على نتائج البحث الممولة (Sponsored Search Results) لنشر نفسها، مما يعكس أن المهاجمين يتبعون أسلوبًا انتهازيًا وليس استهدافًا مباشرًا، ويحرصون على استهداف فئات مهتمة بإدارة قواعد البيانات والاتصالات البعيدة.
آلية عمل ZuRu الجديدة
أظهرت العينات الجديدة من البرمجية استخدام إصدار معدل من أداة Khepri مفتوحة المصدر، وهي مجموعة أدوات مخصصة لهجمات ما بعد الاختراق، تمكن المهاجم من السيطرة على الجهاز المصاب.
“يتم توصيل البرمجية عبر ملف بصيغة
.dmg، ويحتوي على نسخة مزيفة من تطبيق Termius.app”، بحسب التقرير.
داخل الحزمة، تم تعديل التطبيق واستبدال التوقيع الرقمي للمطور الأصلي بتوقيع مؤقت “Ad-hoc” يسمح بتجاوز قيود التحقق على macOS.
يتم تضمين ملفين تنفيذيين إضافيين داخل Termius Helper.app:
-
.localized: يعمل كـ Loader لتحميل وتشغيل ملف Beacon الخاص بـ Khepri من خادم خارجي (download.termius[.]info). -
.Termius Helper1: وهو نسخة مُعدلة من التطبيق الحقيقي “Termius Helper”.
تطور تقنيات الهجوم
استخدمت الإصدارات السابقة من ZuRu أسلوب حقن مكتبات .dylib عبر تحميل ديناميكي إلى الملف التنفيذي الأساسي. أما في الإصدار الجديد، فقد لجأ المهاجمون إلى تضمين تطبيق مساعد معدل داخل الحزمة، في محاولة لتجاوز تقنيات الكشف التقليدية.
آلية التحقق والتحديث
يقوم البرنامج الخبيث بفحص مسار محدد في النظام:
إذا وُجد ملف بالفعل، يتم مقارنة قيمة MD5 مع النسخة الموجودة على الخادم. وإذا لم تتطابق القيم، يتم تحميل نسخة جديدة — مما يشير إلى وجود آلية تحديث تلقائي أو آلية تحقق من سلامة البرمجية.
وظائف Khepri
يُستخدم إصدار معدل من أداة Khepri لتنفيذ الأوامر والتحكم في النظام، ويشمل وظائف مثل:
-
نقل الملفات
-
استطلاع النظام
-
تنفيذ العمليات والتحكم بها
-
تنفيذ الأوامر مع التقاط نتائجها
يتواصل البرنامج الخبيث مع الخادم عبر العنوان:
استنتاجات الباحثين
أكد الباحثون أن المهاجمين يواصلون استغلال التطبيقات الشائعة لدى المطورين والمهنيين التقنيين، مع تطوير أساليبهم لتجاوز الكشف. ومع ذلك، فإن تكرار بعض الخصائص التقنية مثل أسماء الملفات، والطرق المستخدمة في تثبيت البرمجية، وآلية الاتصال بالخادم، يشير إلى أن هذه الأساليب لا تزال فعالة في بيئات تفتقر إلى حماية قوية على مستوى نقاط النهاية.
