كشفت شركة SentinelOne عن متغير جديد من برمجية ZuRu الخبيثة التي تستهدف مستخدمي نظام macOS، حيث تم رصدها مؤخرًا وهي تنتحل صفة تطبيق Termius المعروف لإدارة الاتصالات عبر SSH، وذلك بهدف استهداف المطورين والمحترفين في مجال تكنولوجيا المعلومات.
ووفقًا للتقرير الذي نُشر بالتعاون مع The Hacker News، تم رصد البرمجية الخبيثة في أواخر مايو 2025 مدمجة داخل نسخة مقرصنة من تطبيق Termius، حيث أُعيد توقيع التطبيق باستخدام شهادة مخصصة على نحو يتيح تمريره عبر قواعد التحقق في macOS.
سجل من التمويه واستهداف الباحثين عن أدوات عمل
ظهر اسم ZuRu لأول مرة في سبتمبر 2021 على منصة الأسئلة الصينية “Zhihu”، حين استُخدمت حملات خبيثة لخداع المستخدمين الباحثين عن تطبيق iTerm2 الشهير عبر نتائج بحث مموّلة تؤدي إلى مواقع مزيفة، ومن هناك يتم تحميل نسخة ضارة من التطبيق.
وفي يناير 2024، وثقت شركة Jamf Threat Labs نسخة من البرمجية كانت تُوزّع عبر تطبيقات مقرصنة على macOS، من ضمنها Remote Desktop الخاص بمايكروسوفت وSecureCRT وNavicat، في تأكيد على توجه المجموعة نحو استغلال البرامج الشائعة بين المطورين.
واعتبر الباحثون أن اعتماد ZuRu على نتائج البحث المدفوعة يشير إلى أن الجهة الفاعلة تنتهج أسلوبًا انتهازيًا غير موجه، مستهدفة بالأساس الباحثين عن أدوات اتصال وإدارة قواعد البيانات.
آلية الإصابة والتحكم عن بعد
البرمجية الخبيثة تُسلّم للمستخدم عبر صورة قرص بصيغة .dmg تحتوي على تطبيق Termius مُعدل. ضمن حزمة التطبيق المعدّلة، أدرج المهاجمون ملفين تنفيذيين إضافيين:
الأول يحمل اسم .localized ويعمل كأداة تحميل تتصل بخادم خارجي على الرابط download.termius[.]info لتنزيل وتشغيل شيفرة C2 من أداة Khepri مفتوحة المصدر.
الثاني هو نسخة معدلة من التطبيق المساعد الأصلي، ويُسمى .Termius Helper1.
وعلى عكس الإصدارات السابقة من ZuRu التي اعتمدت على زرع مكتبة .dylib ضمن الملف التنفيذي الرئيسي، فإن الأسلوب الجديد يستهدف المكون المساعد داخل الحزمة التطبيقية، في محاولة لتجاوز وسائل الكشف التقليدية.
التثبيت والاستمرار والتحديث الذاتي
بجانب تحميل الحمولة، يقوم اللودر بتثبيت آلية استمرار على النظام، ويتحقق من وجود الحمولة مسبقًا في المسار /tmp/.fseventsd. وإذا وُجدت، يُقارن توقيع MD5 الخاص بها بنسخة الخادم، ويُحمّل إصدارًا جديدًا إذا لم تتطابق القيم. ويُعتقد أن هذه الآلية تُستخدم إما كوسيلة لتحديث البرمجية، أو للتحقق من سلامة الملف بعد تثبيته.
أما أداة Khepri نفسها، فهي توفر إمكانيات متقدمة للتحكم عن بعد، تشمل:
-
نقل الملفات
-
استكشاف النظام
-
تنفيذ العمليات والأوامر
-
جمع المخرجات وإرسالها إلى خادم C2 عبر النطاق ctl01.termius[.]fun.
استهداف متواصل لمطوري macOS
قال الباحثون إن “الإصدار الأحدث من ZuRu يستمر في اتباع النمط ذاته من استغلال تطبيقات macOS الشرعية المستخدمة من قبل المطورين والمحترفين”. وأضافوا أن “التحول من حقن مكتبات dylib إلى تعديل تطبيق مساعد مدمج يعكس محاولة لتجنب أنواع معينة من اكتشاف السلوك المشبوه”.
وعلى الرغم من التغيير في الأسلوب، إلا أن تكرار استخدام نفس الأدوات والتقنيات – من أسماء الملفات والمجالات، إلى آليات التثبيت والاتصال – يشير إلى نجاح متواصل لدى جهات التهديد في بيئات تفتقر للحماية الفعالة على مستوى الأجهزة الطرفية.
