MacOS-skadelig programvare som ikke ble oppdaget i årevis ved å bruke AppleScripts som kun kjøres

MacOS-skadelig programvare som ikke ble oppdaget i årevis ved å bruke AppleScripts som kun kjøres
Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon. Les mer.

OSAMiner var en av de sneieste skadevare som har påvirket macOS-enheter i nesten fem år. Den brukte et ganske genialt triks for å unngå å bli oppdaget og fortsatte å tære på maskinvareressursene til Mac-er over hele verden.





Mens mange tror at macOS-enheter er ugjennomtrengelige, har dette massive bruddet stoppet skadevareforskere i nesten fem år. Men hva er OSAMiner? Og hvordan unngikk den oppdagelse så lenge?



MAKEUSE AV DAGENS VIDEO RULL FOR Å FORTSETTE MED INNHOLD

Hva er OSAMiner Malware?

OSAMiner er en gruvearbeider for kryptovaluta som klarte å infisere macOS-enheter i nesten fem år. Den ble utrolig populær i forskningsmiljøene for skadevare på grunn av dens evne til å motstå full analyse i nesten et halvt tiår.





Mens det offisielt kom frem i 2021 i en rapport fra et sikkerhetsfirma, SentinelOne, hadde OSAMiner infisert macOS-enheter siden 2015. I 2018 rapporterte kinesiske sikkerhetsnettsteder først om en trojaner som målrettet macOS-enheter mot mine Monero, en populær privat kryptovaluta .

Det som gjør OSAMiner så spesiell sammenlignet med andre kryptogruvearbeidere, er at det nesten ikke ble oppdaget, da skadevareforskere ikke klarte å hente hele koden (noe som forhindret analyse).



Hvordan infiserte OSAMiner Malware Mac-er?

MacBook med serie koder på skjermen

OSAMiner spredte seg først og fremst gjennom piratkopierte spill og programvare og primært målrettet samfunn i Asia-Stillehavsregionen og Kina. Mange laster ned piratkopiert programvare og usensurert innhold gjennom underjordiske torrent-nettsteder , noe som gjør det lettere for OSAMiner å spre seg.

hvordan omgå administratorpassordet windows xp

Det spredte seg oftest gjennom populær piratkopiert programvare, som Microsoft Office for Mac, og spill som League of Legends. Installatørene ville laste ned og kjøre et AppleScript i bakgrunnen mens folk installerte den piratkopierte programvaren.



Dette vil utløse et AppleScript som kun kjøres (mer om det nedenfor), som vil starte en ny nedlasting, noe som forårsaker en ny AppleScript-nedlasting som kun kan kjøres. Dette vil føre til at et siste AppleScript lastes ned og installeres på macOS-enheten, noe som gjør sporing utrolig vanskelig.

hvordan rotere video windows media player

Hvordan OSAMiner klarte å bli uoppdaget

For bedre å forstå hvordan OSAMiner kunne unngå gjenkjenning så lenge, er det viktig å først snakke om AppleScripts som kun kjøres (som er det OSAMiner er bygget på). Enkelt sagt er AppleScripts kraftige verktøy som tillater automatisering og gir større kontroll over programvare på macOS.



De bruker AppleScript-språket, som er laget for å være forståelig og lett å lese. Et AppleScript som kun kjøres er en kompilert versjon av et AppleScript som er ment å kjøres, men ikke leses eller endres.

Når et AppleScript lagres som et kun-kjør-skript, kompileres det til et skjema som kan forstås av datamaskinen, men som er vanskelig for mennesker å lese (bytekodeformat). Dette forhindrer ikke bare andre fra å se eller endre skriptets kildekode, men bidrar også til å beskytte all sensitiv informasjon som kan være inneholdt i skriptet.

Uttrykket 'bare kjøre' gir en klarere betydning: disse skriptene er ikke ment å bli redigert i utgangspunktet. Og fordi mennesker ikke kan lese koden, ble ikke OSAMiner oppdaget av sikkerhetsforskere.

Hvem oppdaget OSAMiner-infeksjonen?

Sikkerhetsforskningsfirmaet som oppdaget OSAMiner, SentilOne, publisert en fullstendig angrepskjede og en detaljert liste over kompromissindikatorer (IoCs) som skisserer hvordan OSAMiner var i stand til å infisere Mac-er.

En viktig ting å merke seg her er at OSAMiner fortsatte å utvikle seg ettersom angriperne bak skadevaren fortsatte å få mer selvtillit. To kinesiske sikkerhetsfirmaer rapporterte om OSAMiner tilbake i august og september 2018, selv om rapportene deres ikke engang kom i nærheten av hva OSAMiner var i stand til.

Kinesisk rapport som viser osascript

De rapporterte riktignok om 'osascript' som ble oppdaget, men rapportene ga ikke engang en ringvirkning i sirkler for sikkerhetsforskning. Hovedårsaken til dette var at de ikke kunne hente hele skadevarekoden.

hvordan endre språk på youtube

Utgjør OSAMiner fortsatt en sikkerhetsrisiko?

Kryptojacking er en alvorlig bekymring og kan angripe alle enheter. Nestede AppleScripts som kun kjøres er ansett for å være en alvorlig angrepsvektor, og selv om Apple har tatt skritt for å forbedre sikkerheten på enhetene sine, utgjør skadevare som OSAMiner fortsatt en risiko.

Selv om Mac-er kommer med ulike sikkerhetsfunksjoner , er det fortsatt viktig for brukere å installere et antivirus. Ideelt sett er den beste måten å forhindre skadelig programvare på å unngå å laste ned piratkopiert programvare eller spill på enheten din. Kjøp alltid fra originale kilder for å redusere risikoen for infeksjon.

Kjør skanninger regelmessig for å beskytte Mac-en din

Hvis du surfer på internett uten noen beskyttelse, må du skanne systemet ditt for skadelig programvare regelmessig. Malware-infeksjoner som OSAMiner er klare eksempler på hvor sofistikerte hackere får og hvor mye skade de kan forårsake over tid.

Det er mange måter å beskytte Mac-en mot skadelig programvare, og det er viktig at du regelmessig installerer nye sikkerhetsoppdateringer etter hvert som Apple slipper dem.