Запознайте се с OSAMiner, зловреден софтуер, който заразява Mac в продължение на години, без да бъде открит. Ето всичко, което трябва да знаете.
OSAMiner беше един от най-подлите зловреден софтуер, който засягаше устройства с macOS почти пет години. Той използва доста гениален трик, за да избегне откриването си и да продължи да използва хардуерните ресурси на Mac по целия свят.
Докато много хора смятат, че устройствата с macOS са непроницаеми, този масивен пробив спъна изследователите на зловреден софтуер за почти пет години. Но какво е OSAMiner? И как успя да избегне откриването толкова дълго?
Какво представлява зловреден софтуер OSAMiner?
OSAMiner е копач на криптовалута, който успя да зарази устройства с macOS за почти пет години. Той стана невероятно популярен в изследователските кръгове на зловреден софтуер поради способността си да устои на пълен анализ в продължение на почти половин десетилетие.
Въпреки че официално излезе на бял свят през 2021 г. в доклад на фирма за сигурност SentinelOne, OSAMiner заразява устройства с macOS от 2015 г. насам. През 2018 г. китайските сайтове за сигурност за първи път съобщиха за троянски кон, насочен към копаене на устройства с macOS
Monero, популярна частна криптовалута.Това, което прави OSAMiner толкова специален в сравнение с други крипто копачи е, че той остана почти незабелязан, тъй като изследователите на зловреден софтуер не успяха да извлекат целия му код (което попречи на анализа).
Как зловредният софтуер OSAMiner зарази Mac?
OSAMiner се разпространява предимно чрез пиратски игри и софтуер и основно насочен към общности в Азиатско-тихоокеанския и китайския регион. Много хора изтеглят пиратски софтуер и нецензурирано съдържание чрез подземни торент сайтове, което улеснява разпространението на OSAMiner.
Разпространява се най-често чрез популярен пиратски софтуер, като Microsoft Office за Mac, и игри като League of Legends. Инсталаторите ще изтеглят и изпълняват AppleScript във фонов режим, докато хората инсталират пиратския софтуер.
Това би задействало AppleScript само за изпълнение (повече за това по-долу), което би инициирало друго изтегляне, причинявайки друго изтегляне само за изпълнение на AppleScript. Това ще доведе до изтегляне и инсталиране на един последен AppleScript на устройството с macOS, което прави проследяването невероятно трудно.
Как OSAMiner успя да остане незабелязан
За да разберете по-добре как OSAMiner може да избягва откриването толкова дълго време, важно е първо да поговорим за изпълняващи се само AppleScripts (на които е изграден OSAMiner). Просто казано, AppleScripts са мощни инструменти, които позволяват автоматизация и предоставят по-голям контрол върху софтуера на macOS.
Те използват езика AppleScript, който е проектиран да бъде разбираем и лесен за четене. AppleScript само за изпълнение е компилирана версия на AppleScript, която е предназначена да се изпълнява, но не и да се чете или модифицира.
Когато AppleScript се запише като скрипт само за изпълнение, той се компилира във форма, която може да бъде разбрана от компютъра, но е трудна за четене от хората (формат на байт код). Това не само не позволява на другите да виждат или модифицират изходния код на скрипта, но също така помага да се защити всяка чувствителна информация, която може да се съдържа в скрипта.
Фразата "само за изпълнение" предоставя по-ясно значение: тези скриптове не са предназначени да бъдат редактирани на първо място. И тъй като хората не могат да разчетат кода, OSAMiner не е открит от изследователите по сигурността.
Кой е открил инфекцията OSAMiner?
Фирмата за изследване на сигурността, която откри OSAMiner, SentilOne, публикуван пълна верига от атаки и подробен списък с индикатори за компромис (IoCs), очертаващи как OSAMiner е успял да зарази Mac.
Важно нещо, което трябва да се отбележи тук е, че OSAMiner продължи да се развива, тъй като нападателите зад зловреден софтуер продължиха да печелят повече увереност. Две китайски фирми за сигурност докладваха за OSAMiner през август и септември 2018 г., въпреки че техните доклади дори не се доближаваха до това, на което OSAMiner беше способен.
Те наистина докладваха за открит "osascript", но докладите дори не предизвикаха вълнение в изследователските кръгове на сигурността. Основната причина за това беше, че не можаха да извлекат пълния код на зловреден софтуер.
OSAMiner все още представлява ли риск за сигурността?
Криптоджакинг е сериозно безпокойство и може да атакува всяко устройство. Вложените изпълнявани само AppleScript се считат широко за сериозен вектор на атака и докато Apple предприе стъпки за подобряване на сигурността на своите устройства, зловреден софтуер като OSAMiner все още представлява риск.
Въпреки че Macs идват с различни функции за сигурност, за потребителите все още е важно да инсталират антивирусна програма. В идеалния случай най-добрият начин да предотвратите заразяване със зловреден софтуер е да избягвате изтеглянето на пиратски софтуер или игри на вашето устройство. Винаги купувайте от оригинални източници, за да намалите риска от инфекция.
Редовно изпълнявайте сканирания, за да защитите своя Mac
Ако сърфирате в интернет без никаква защита, трябва редовно да сканирате системата си за зловреден софтуер. Инфекциите със зловреден софтуер като OSAMiner са ясни примери за това колко сложни хакери получават и колко щети могат да причинят с течение на времето.
Има много начини да защитите своя Mac от злонамерен софтуер и е важно редовно да инсталирате нови актуализации за сигурност, докато Apple ги пуска.
