MacOS-malware som inte upptäcktes i flera år genom att använda AppleScripts som endast körs

MacOS-malware som inte upptäcktes i flera år genom att använda AppleScripts som endast körs
Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision. Läs mer.

OSAMiner var en av de lömigaste skadliga program som påverkade macOS-enheter i nästan fem år. Den använde ett ganska genialt knep för att undvika att bli upptäckt och fortsatte att tära på hårdvaruresurserna på Mac-datorer över hela världen.





Även om många tror att macOS-enheter är ogenomträngliga, störde detta massiva intrång skadlig programvara forskare i nästan fem år. Men vad är OSAMiner? Och hur undvek den upptäckt så länge?



MAKEUSE AV DAGENS VIDEO SCROLL FÖR ATT FORTSÄTTA MED INNEHÅLL

Vad är OSAMiner Malware?

OSAMiner är en gruvarbetare för kryptovaluta som lyckades infektera macOS-enheter i nästan fem år. Det blev oerhört populärt i forskningskretsarna för skadlig programvara på grund av dess förmåga att motstå fullständig analys i nästan ett halvt decennium.





Även om det officiellt kom fram 2021 i en rapport från ett säkerhetsföretag, SentinelOne, hade OSAMiner infekterat macOS-enheter sedan 2015. Under 2018 rapporterade kinesiska säkerhetswebbplatser först om en trojan som riktade in sig på macOS-enheter för att gruva Monero, en populär privat kryptovaluta .

Det som gör OSAMiner så speciellt jämfört med andra kryptogruvarbetare är att det praktiskt taget gick oupptäckt, eftersom skadlig kod forskare inte kunde hämta hela dess kod (vilket förhindrade analys).



Hur infekterade OSAMiner Malware Mac-datorer?

MacBook med serie koder på skärmen

OSAMiner spreds främst genom piratkopierade spel och mjukvara och riktade sig främst mot samhällen i Asien-Stillahavsområdet och Kina. Många laddar ner piratkopierad programvara och ocensurerat innehåll underjordiska torrentsidor , vilket gör det lättare för OSAMiner att spridas.

Det spreds oftast genom populär piratkopierad programvara, som Microsoft Office för Mac, och spel som League of Legends. Installatörerna skulle ladda ner och köra ett AppleScript i bakgrunden när folk installerade den piratkopierade programvaran.



Detta skulle utlösa ett körbart AppleScript (mer om det nedan), vilket skulle initiera en ny nedladdning, vilket orsakar ytterligare en körbar AppleScript-nedladdning. Detta skulle få ett sista AppleScript att ladda ner och installera på macOS-enheten, vilket gör spårningen otroligt svårt.

Hur OSAMiner lyckades bli oupptäckt

För att bättre förstå hur OSAMiner kunde undvika upptäckt så länge är det viktigt att först prata om körbara AppleScripts (vilket är vad OSAMiner bygger på). Enkelt uttryckt är AppleScripts kraftfulla verktyg som möjliggör automatisering och ger större kontroll över programvara på macOS.



De använder språket AppleScript, som är designat för att vara begripligt och lätt att läsa. Ett körbart AppleScript är en kompilerad version av ett AppleScript som är tänkt att köras men inte läsas eller ändras.

När ett AppleScript sparas som ett körbart skript kompileras det till en form som kan förstås av datorn men som är svår att läsa för människor (bytekodformat). Detta hindrar inte bara andra från att se eller ändra skriptets källkod utan hjälper också till att skydda all känslig information som kan finnas i skriptet.

Frasen 'run-only' ger en tydligare betydelse: dessa skript är inte avsedda att redigeras i första hand. Och eftersom människor inte kan läsa koden, upptäcktes inte OSAMiner av säkerhetsforskare.

Vem upptäckte OSAMiner-infektionen?

Säkerhetsforskningsföretaget som upptäckte OSAMiner, SentilOne, publicerad en fullständig attackkedja och en detaljerad lista över kompromissindikatorer (IoCs) som beskriver hur OSAMiner kunde infektera Mac-datorer.

En viktig sak att notera här är att OSAMiner fortsatte att utvecklas eftersom angriparna bakom skadlig programvara fortsatte att få mer förtroende. Två kinesiska säkerhetsföretag rapporterade om OSAMiner redan i augusti och september 2018, även om deras rapporter inte ens kom i närheten av vad OSAMiner var kapabel till.

hur man ökar minnet på datorn
Kinesisk rapport som visar osascript

De rapporterade visserligen om att 'osascript' upptäcktes, men rapporterna gav inte ens en krusning i säkerhetsforskningskretsarna. Den främsta anledningen till detta var att de inte kunde hämta hela skadlig kod.

Utgör OSAMiner fortfarande en säkerhetsrisk?

Kryptojackning är ett allvarligt problem och kan attackera vilken enhet som helst. Kapslade körbara AppleScripts anses allmänt vara en allvarlig attackvektor, och även om Apple har vidtagit åtgärder för att förbättra säkerheten på sina enheter, utgör skadlig programvara som OSAMiner fortfarande en risk.

Även om Mac-datorer kommer med olika säkerhetsfunktioner , är det fortfarande viktigt för användare att installera ett antivirusprogram. Helst är det bästa sättet att förhindra infektioner med skadlig programvara att undvika att ladda ner piratkopierad programvara eller spel på din enhet. Köp alltid från originalkällor för att minska risken för infektion.

Kör regelbundet skanningar för att skydda din Mac

Om du surfar på internet utan något skydd måste du regelbundet skanna ditt system efter skadlig programvara. Infektioner med skadlig programvara som OSAMiner är tydliga exempel på hur sofistikerade hackare får och hur mycket skada de kan orsaka över tid.

Det finns många sätt att skydda din Mac från skadlig programvara, och det är viktigt att du regelbundet installerar nya säkerhetsuppdateringar när Apple släpper dem.