برمجيات خبيثة جديدة لنظام ماك أو إس تنتشر عبر تطبيقات الأعمال المخترقة

الرئيسيةالأخبار* حدد الباحثون نشاطًا جديدًا من برنامج ZuRu الضار لنظام macOS في أواخر مايو 2025.

• تتنكر ZuRu كبرمجيات شرعية، بما في ذلك عميل Termius SSH، لإصابة أجهزة كمبيوتر Mac.
• يستخدم البرمجيات الخبيثة مجموعة أدوات مفتوحة المصدر معدلة تسمى Khepri للوصول والتحكم عن بُعد.
• المهاجمون يوزعون ZuRu بشكل أساسي من خلال التطبيقات المخترقة التي تُعثر عليها عبر عمليات البحث المدفوعة على الويب.
• التغييرات الأخيرة تظهر أن البرمجيات الخبيثة تستخدم الآن أساليب جديدة لتجاوز الأمان على أنظمة macOS. لقد اكتشف خبراء الأمن السيبراني علامات جديدة لبرنامج ZuRu الضار الذي يؤثر على نظام macOS الخاص بشركة أبل في مايو 2025. ينتشر هذا البرنامج الضار من خلال تقليد تطبيقات إدارة الأعمال وتكنولوجيا المعلومات الشهيرة، مستهدفًا المستخدمين من خلال ملفات تثبيت معدلة. تتضمن أحدث ظهور لبرنامج ZuRu تقليد أداة إدارة خادم SSH وعميل Termius.

• إعلان - وفقًا لتقرير من SentinelOne، لاحظ الباحثون استخدام ZuRu نسخة مزيفة من Termius. قام المهاجمون بتسليم البرامج الضارة عبر صورة قرص .dmg، والتي تضمنت حزمة تطبيقات تم التلاعب بها وتم توقيعها بتوقيع الشيفرة الخاص بالمهاجم. تتيح هذه الطريقة المحددة لـ ZuRu تجاوز قيود توقيع الشيفرة في macOS.

تشير التقارير إلى أن ZuRu تستخدم نسخة معدلة من Khepri، وهي مجموعة أدوات مفتوحة المصدر تتيح للمهاجمين التحكم عن بعد في الأنظمة المصابة. يقوم البرنامج الضار بتثبيت برامج تنفيذية إضافية، بما في ذلك محمل مصمم لجلب الأوامر من خادم خارجي. "يستمر برنامج ZuRu الضار في استهداف مستخدمي macOS الذين يبحثون عن أدوات عمل مشروعة، متكيفًا مع محمله وتقنيات C2 لتجاوز أهدافه،" صرح الباحثان فيل ستوكز ودينش ديفادوس.

تم توثيق ZuRu لأول مرة في سبتمبر 2021، وكان معروفًا بخطف عمليات البحث المتعلقة بأدوات Mac الشهيرة مثل iTerm2. كان يوجه المستخدمين إلى مواقع مزيفة، مما يؤدي بهم إلى تنزيل ملفات مصابة بالبرمجيات الخبيثة. في يناير 2024، ربطت Jamf Threat Labs ZuRu بالتطبيقات المقرصنة، بما في ذلك Remote Desktop for Mac من Microsoft، وSecureCRT، وNavicat، جميعها موزعة مع برمجيات خبيثة مخفية.

تغيرت المتغيرات الأخيرة طريقة اختفائها داخل التطبيقات. بدلاً من تعديل الملف التنفيذي الرئيسي بإضافة خبيثة، يقوم المهاجمون الآن بتضمين التهديد داخل تطبيق مساعد. يبدو أن هذا التعديل يهدف إلى تجنب اكتشاف البرمجيات الضارة التقليدية. يقوم محمل البرمجيات بالتحقق من وجود برمجيات ضارة موجودة، ويتحقق من سلامتها، ويقوم بتنزيل التحديثات إذا تم العثور على عدم تطابق.

تشمل ميزات أداة Khepri نقل الملفات، ومراقبة النظام، وتشغيل البرامج، والتقاط المخرجات، كلها تتم السيطرة عليها عبر خادم بعيد. يشير الباحثون إلى أن المهاجمين يركزون على اختراق الأدوات المستخدمة عادةً من قبل المطورين ومحترفي تكنولوجيا المعلومات. كما يعتمدون على تقنيات مثل وحدات الاستمرارية وطرق الإشعارات للحفاظ على سيطرتهم على الأنظمة المخترقة. يمكن العثور على مزيد من المعلومات في التحليل المفصل لشركة SentinelOne.

المقالات السابقة:

• بيتكوين تصل إلى 111 ألف دولار: 4 علامات على عودة المستثمرين الأفراد
• SDX و Pictet يكملان التجربة لتوكنيز وتقسيم السندات
• لاتفيا تسمح للشركات باستخدام العملات الرقمية لرأس المال
• أستراليا توافق على 24 مشروع تجريبي للأصول المرمزة مع البنوك الكبرى
• من المتوقع أن يرتفع سعر دوجكوين بنسبة 177% ليصل إلى 0.50 دولار بحلول عام 2030، حسب توقعات المحللين

• إعلان -