MacOS-malwaren, der ikke blev opdaget i årevis ved at bruge AppleScripts, der kun køres

MacOS-malwaren, der ikke blev opdaget i årevis ved at bruge AppleScripts, der kun køres
Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission. Læs mere.

OSAMiner var en af ​​de snedigeste malware, der påvirkede macOS-enheder i næsten fem år. Det brugte et ret genialt trick for at undgå at blive opdaget og fortsatte med at forgribe sig på hardwareressourcerne på Macs over hele kloden.





Mens mange mennesker tror, ​​at macOS-enheder er uigennemtrængelige, stødte dette massive brud malware-forskere i næsten fem år. Men hvad er OSAMiner? Og hvordan undgik den opdagelse så længe?



MAKEUSE AF DAGENS VIDEO RUL FOR AT FORTSÆTTE MED INDHOLD

Hvad er OSAMiner Malware?

OSAMiner er en cryptocurrency-minearbejder, der formåede at inficere macOS-enheder i næsten fem år. Det blev utroligt populært i malwareforskningskredsene på grund af dets evne til at modstå fuld analyse i næsten et halvt årti.





Mens det officielt kom frem i 2021 i en rapport fra et sikkerhedsfirma, SentinelOne, havde OSAMiner inficeret macOS-enheder siden 2015. I 2018 rapporterede kinesiske sikkerhedswebsteder først en trojan, der målrettede macOS-enheder til mine Monero, en populær privat kryptovaluta .

hvordan man sletter begivenheder på kalender iphone

Det, der gør OSAMiner så speciel sammenlignet med andre kryptominearbejdere, er, at den næsten ikke blev opdaget, da malware-forskere ikke var i stand til at hente hele dens kode (hvilket forhindrede analyse).



Hvordan inficerede OSAMiner Malware Macs?

MacBook med række koder på skærmen

OSAMiner spredte sig primært gennem piratkopierede spil og software og primært målrettede samfund i Asien-Stillehavsområdet og Kina. Mange mennesker downloader piratkopieret software og ucensureret indhold igennem underjordiske torrent-websteder , hvilket gør det lettere for OSAMiner at sprede sig.

Det spredes oftest gennem populær piratkopieret software, som Microsoft Office til Mac, og spil som League of Legends. Installationsprogrammerne ville downloade og udføre et AppleScript i baggrunden, mens folk installerede den piratkopierede software.



Dette vil udløse et AppleScript, der kun kan køres (mere om det nedenfor), som vil starte endnu en download, hvilket forårsager endnu en AppleScript-download, der kun kan køres. Dette ville få et sidste AppleScript til at downloade og installere på macOS-enheden, hvilket gør sporing utroligt vanskeligt.

Hvordan OSAMiner formåede at blive uopdaget

For bedre at forstå, hvordan OSAMiner kunne unddrage sig registrering i så lang tid, er det vigtigt først at tale om AppleScripts, der kun kan køres (hvilket er det, OSAMiner er bygget på). Kort sagt er AppleScripts kraftfulde værktøjer, der tillader automatisering og giver større kontrol over software på macOS.



De bruger AppleScript-sproget, som er designet til at være forståeligt og let at læse. Et AppleScript, der kun kan køres, er en kompileret version af et AppleScript, der er beregnet til at blive udført, men ikke læst eller ændret.

Når et AppleScript gemmes som et kun-run-script, kompileres det til en form, der kan forstås af computeren, men som er svær at læse for mennesker (bytekode-format). Dette forhindrer ikke kun andre i at se eller ændre scriptets kildekode, men hjælper også med at beskytte enhver følsom information, der måtte være indeholdt i scriptet.

Udtrykket 'kun kørende' giver en klarere betydning: Disse scripts er ikke beregnet til at blive redigeret i første omgang. Og fordi mennesker ikke kan læse koden, blev OSAMiner ikke opdaget af sikkerhedsforskere.

Hvem opdagede OSAMiner-infektionen?

Sikkerhedsforskningsfirmaet, der opdagede OSAMiner, SentilOne, udgivet en komplet angrebskæde og en detaljeret liste over kompromisindikatorer (IoC'er), der beskriver, hvordan OSAMiner var i stand til at inficere Mac'er.

En vigtig ting at bemærke her er, at OSAMiner fortsatte med at udvikle sig, efterhånden som angriberne bag malwaren fortsatte med at få mere selvtillid. To kinesiske sikkerhedsfirmaer rapporterede om OSAMiner tilbage i august og september 2018, selvom deres rapporter ikke engang kom i nærheden af, hvad OSAMiner var i stand til.

Kinesisk rapport, der viser osascript

De rapporterede om, at 'osascript' blev opdaget, men rapporterne gav ikke engang en krusning i sikkerhedsforskningskredsene. Hovedårsagen til dette var, at de ikke kunne hente den fulde malwarekode.

Udgør OSAMiner stadig en sikkerhedsrisiko?

Kryptojacking er en alvorlig bekymring og kan angribe enhver enhed. Indlejrede kun-kørende AppleScripts anses generelt for at være en alvorlig angrebsvektor, og selvom Apple har taget skridt til at forbedre sikkerheden på sine enheder, udgør malware som OSAMiner stadig en risiko.

Selv om Mac'er kommer med forskellige sikkerhedsfunktioner , er det stadig vigtigt for brugerne at installere et antivirus. Ideelt set er den bedste måde at forhindre malwareinfektioner på at undgå at downloade piratkopieret software eller spil på din enhed. Køb altid fra originale kilder for at mindske risikoen for infektion.

Kør regelmæssigt scanninger for at beskytte din Mac

Hvis du surfer på internettet uden nogen beskyttelse, skal du scanne dit system for malware regelmæssigt. Malware-infektioner som OSAMiner er klare eksempler på, hvor sofistikerede hackere får, og hvor meget skade de kan forårsage over tid.

Der er mange måder at beskytte din Mac mod malware, og det er vigtigt, at du regelmæssigt installerer nye sikkerhedsopdateringer, efterhånden som Apple udgiver dem.