Poznaj OSAMiner, złośliwe oprogramowanie, które przez lata infekowało komputery Mac i nie zostało wykryte. Oto wszystko, co musisz wiedzieć.
OSAMiner był jednym z najbardziej podstępnych złośliwych programów, które atakowały urządzenia z systemem macOS przez prawie pięć lat. Wykorzystywał dość pomysłową sztuczkę, aby uniknąć wykrycia i nadal żerował na zasobach sprzętowych komputerów Mac na całym świecie.
Podczas gdy wiele osób uważa, że urządzenia z systemem macOS są nieprzeniknione, to masowe naruszenie wprawiało badaczy szkodliwego oprogramowania w zakłopotanie przez prawie pięć lat. Ale czym jest OSAMiner? I jak tak długo unikał wykrycia?
Co to jest złośliwe oprogramowanie OSAMiner?
OSAMiner to koparka kryptowalut, która infekowała urządzenia z systemem macOS przez prawie pięć lat. Stał się niezwykle popularny w kręgach badaczy złośliwego oprogramowania ze względu na jego zdolność do opierania się pełnej analizie przez prawie pół dekady.
Chociaż oficjalnie wyszło to na jaw w 2021 roku w raporcie firmy zajmującej się bezpieczeństwem, SentinelOne, OSAMiner infekował urządzenia macOS od 2015 roku. W 2018 roku chińskie strony zajmujące się bezpieczeństwem po raz pierwszy zgłosiły trojana atakującego urządzenia z systemem macOS
Monero, popularna prywatna kryptowaluta.To, co sprawia, że OSAMiner jest tak wyjątkowy w porównaniu do innych kopaczy kryptowalut, to fakt, że praktycznie nie został wykryty, ponieważ badacze szkodliwego oprogramowania nie byli w stanie odzyskać całego kodu (co uniemożliwiło analizę).
W jaki sposób złośliwe oprogramowanie OSAMiner zainfekowało komputery Mac?
OSAMiner rozprzestrzeniał się głównie za pośrednictwem pirackich gier i oprogramowania oraz atakował przede wszystkim społeczności w regionie Azji i Pacyfiku oraz w Chinach. Wiele osób pobiera pirackie oprogramowanie i nieocenzurowane treści podziemne strony z torrentami, ułatwiając rozprzestrzenianie się OSAMinera.
Rozprzestrzeniał się najczęściej za pośrednictwem popularnego pirackiego oprogramowania, takiego jak Microsoft Office dla komputerów Mac, oraz gier, takich jak League of Legends. Instalatorzy pobierali i uruchamiali AppleScript w tle, gdy ludzie instalowali pirackie oprogramowanie.
Spowodowałoby to uruchomienie skryptu AppleScript tylko do uruchamiania (więcej na ten temat poniżej), który zainicjowałby kolejne pobieranie, powodując kolejne pobieranie AppleScript tylko do uruchamiania. Spowodowałoby to pobranie i zainstalowanie ostatniego skryptu AppleScript na urządzeniu z systemem macOS, co bardzo utrudniłoby śledzenie.
Jak OSAMinerowi udało się pozostać niewykrytym
Aby lepiej zrozumieć, w jaki sposób OSAMiner mógł tak długo unikać wykrycia, ważne jest, aby najpierw porozmawiać o skryptach AppleScript tylko do uruchamiania (na których opiera się OSAMiner). Mówiąc najprościej, AppleScripts to potężne narzędzia, które umożliwiają automatyzację i zapewniają większą kontrolę nad oprogramowaniem w systemie macOS.
Używają języka AppleScript, który został zaprojektowany tak, aby był zrozumiały i łatwy do odczytania. Run-only AppleScript to skompilowana wersja AppleScript, która ma być wykonywana, ale nie odczytywana ani modyfikowana.
Kiedy AppleScript jest zapisywany jako skrypt tylko do wykonywania, jest kompilowany do postaci zrozumiałej dla komputera, ale trudnej do odczytania przez ludzi (format kodu bajtowego). To nie tylko uniemożliwia innym przeglądanie lub modyfikowanie kodu źródłowego skryptu, ale także pomaga chronić wszelkie poufne informacje, które mogą być zawarte w skrypcie.
Wyrażenie „tylko do uruchamiania” ma jaśniejsze znaczenie: przede wszystkim te skrypty nie są przeznaczone do edytowania. A ponieważ ludzie nie potrafią odczytać kodu, OSAMiner nie został wykryty przez badaczy bezpieczeństwa.
Kto odkrył infekcję OSAMiner?
Firma badająca bezpieczeństwo, która odkryła OSAMiner, SentilOne, opublikowane pełny łańcuch ataków i szczegółową listę wskaźników włamania (IoC) opisujących, w jaki sposób OSAMiner był w stanie zainfekować komputery Mac.
Ważną rzeczą, na którą należy zwrócić uwagę, jest to, że OSAMiner nadal ewoluował, ponieważ osoby atakujące stojące za złośliwym oprogramowaniem zyskiwały coraz większą pewność siebie. Dwie chińskie firmy zajmujące się bezpieczeństwem informowały o OSAMiner w sierpniu i wrześniu 2018 r., chociaż ich raporty nawet nie zbliżyły się do tego, do czego zdolny był OSAMiner.
Donosili o wykryciu „osascript”, ale raporty nie wywołały nawet poruszenia w kręgach badaczy bezpieczeństwa. Głównym tego powodem było to, że nie mogli odzyskać pełnego kodu złośliwego oprogramowania.
Czy OSAMiner nadal stanowi zagrożenie dla bezpieczeństwa?
Cryptojacking jest poważnym problemem i może zaatakować dowolne urządzenie. Zagnieżdżone skrypty AppleScript działające tylko w trybie run są powszechnie uważane za poważny wektor ataku i chociaż firma Apple podjęła kroki w celu poprawy bezpieczeństwa swoich urządzeń, złośliwe oprogramowanie, takie jak OSAMiner, nadal stanowi zagrożenie.
Mimo że Komputery Mac są wyposażone w różne funkcje bezpieczeństwa, użytkownicy nadal muszą zainstalować program antywirusowy. Najlepszym sposobem zapobiegania infekcjom złośliwym oprogramowaniem jest unikanie pobierania pirackiego oprogramowania lub gier na urządzenie. Zawsze kupuj z oryginalnych źródeł, aby zmniejszyć ryzyko infekcji.
Regularnie przeprowadzaj skanowanie, aby chronić swój komputer Mac
Jeśli przeglądasz Internet bez żadnej ochrony, musisz regularnie skanować swój system w poszukiwaniu złośliwego oprogramowania. Infekcje złośliwym oprogramowaniem, takie jak OSAMiner, są wyraźnymi przykładami tego, jak wyrafinowani hakerzy pozyskują i jak wiele szkód mogą wyrządzić w czasie.
Istnieje wiele sposobów ochrony komputera Mac przed złośliwym oprogramowaniem i ważne jest, aby regularnie instalować nowe aktualizacje zabezpieczeń, gdy Apple je wypuszcza.