Вредоносное ПО для macOS, которое годами оставалось незамеченным благодаря использованию AppleScript только для запуска

Вредоносное ПО для macOS, которое годами оставалось незамеченным благодаря использованию AppleScript только для запуска
Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию. Читать далее.

OSAMiner был одним из самых коварных вредоносных программ, которые поражали устройства macOS в течение почти пяти лет. Он использовал довольно изобретательный трюк, чтобы избежать обнаружения, и продолжал охотиться на аппаратные ресурсы компьютеров Mac по всему миру.





Хотя многие люди думают, что устройства macOS невозможно взломать, эта масштабная утечка ставила в тупик исследователей вредоносных программ почти пять лет. Но что такое OSAMiner? И как он так долго скрывался от обнаружения?



СДЕЛАТЬ ВИДЕО ДНЯ ПРОКРУТИТЕ, ЧТОБЫ ПРОДОЛЖИТЬ СОДЕРЖАНИЕ

Что такое вредоносное ПО OSAMiner?

OSAMiner — майнер криптовалюты, которому удавалось заражать устройства macOS почти пять лет. Он стал невероятно популярен в кругах исследователей вредоносных программ из-за своей способности сопротивляться полному анализу почти полвека.





Хотя официально об этом стало известно в 2021 году в отчете охранной фирмы SentinelOne, OSAMiner заражал устройства macOS с 2015 года. В 2018 году китайские сайты безопасности впервые сообщили о трояне, нацеленном на устройства macOS для майнинга. Monero, популярная частная криптовалюта .

Что делает OSAMiner таким особенным по сравнению с другими крипто-майнерами, так это то, что он остался практически незамеченным, поскольку исследователи вредоносных программ не смогли получить весь его код (что помешало анализу).



Как вредоносное ПО OSAMiner заразило Mac?

MacBook с серией кодов на экране

OSAMiner распространялся в основном через пиратские игры и программное обеспечение и в первую очередь предназначался для сообществ в Азиатско-Тихоокеанском регионе и Китае. Многие люди загружают пиратское программное обеспечение и контент без цензуры через подпольные торрент-сайты , облегчая распространение OSAMiner.

Чаще всего он распространяется через популярное пиратское программное обеспечение, такое как Microsoft Office для Mac, и такие игры, как League of Legends. Установщики загружали и выполняли AppleScript в фоновом режиме, когда люди устанавливали пиратское программное обеспечение.



Это приведет к запуску AppleScript только для выполнения (подробнее об этом ниже), который инициирует другую загрузку, вызывая другую загрузку AppleScript только для выполнения. Это приведет к тому, что один последний AppleScript будет загружен и установлен на устройстве macOS, что сделает отслеживание невероятно трудным.

как увеличить dpi изображения в фотошопе

Как OSAMiner удалось остаться незамеченным

Чтобы лучше понять, как OSAMiner мог так долго избегать обнаружения, важно сначала поговорить о AppleScripts только для запуска (на которых OSAMiner построен). Проще говоря, AppleScripts — это мощные инструменты, которые позволяют автоматизировать и обеспечивают больший контроль над программным обеспечением в macOS.



Они используют язык AppleScript, который разработан таким образом, чтобы быть понятным и легко читаемым. AppleScript только для запуска — это скомпилированная версия AppleScript, которая предназначена для выполнения, но не для чтения или изменения.

Когда AppleScript сохраняется как сценарий только для выполнения, он компилируется в форму, понятную компьютеру, но трудную для чтения людьми (формат байт-кода). Это не только предотвращает просмотр или изменение исходного кода сценария другими лицами, но и помогает защитить любую конфиденциальную информацию, которая может содержаться в сценарии.

Фраза «только для запуска» дает более ясное значение: эти сценарии изначально не предназначены для редактирования. И поскольку люди не могут прочитать код, OSAMiner не был обнаружен исследователями безопасности.

Кто обнаружил заражение OSAMiner?

Исследовательская фирма в области безопасности, которая обнаружила OSAMiner, СентилУан, опубликовано полная цепочка атак и подробный список индикаторов компрометации (IoC) с описанием того, как OSAMiner смог заразить компьютеры Mac.

Здесь важно отметить, что OSAMiner продолжал развиваться по мере того, как злоумышленники, стоящие за вредоносным ПО, продолжали завоевывать все большую уверенность. Две китайские охранные фирмы отчитывались об OSAMiner еще в августе и сентябре 2018 года, хотя их отчеты даже близко не соответствовали тому, на что был способен OSAMiner.

Китайский отчет, показывающий osascript

Они сообщили об обнаружении «osascript», но эти отчеты даже не вызвали волнения в кругах исследователей безопасности. Основная причина этого заключалась в том, что они не могли получить полный код вредоносного ПО.

Представляет ли OSAMiner угрозу безопасности?

Криптоджекинг является серьезной проблемой и может атаковать любое устройство. Вложенные сценарии AppleScript, предназначенные только для запуска, широко считаются серьезным вектором атаки, и, хотя Apple предприняла шаги для повышения безопасности своих устройств, вредоносные программы, такие как OSAMiner, по-прежнему представляют опасность.

Несмотря на то Mac поставляются с различными функциями безопасности , пользователям по-прежнему необходимо установить антивирус. В идеале лучший способ предотвратить заражение вредоносным ПО — избегать загрузки пиратского программного обеспечения или игр на ваше устройство. Всегда покупайте у первоисточников, чтобы снизить риск заражения.

Регулярно запускайте сканирование для защиты вашего Mac

Если вы просматриваете Интернет без какой-либо защиты, вы должны регулярно сканировать свою систему на наличие вредоносных программ. Вредоносные программы, такие как OSAMiner, являются яркими примерами того, насколько изощренными становятся хакеры и какой ущерб они могут нанести с течением времени.

Существует множество способов защитить ваш Mac от вредоносных программ, и важно регулярно устанавливать новые обновления безопасности по мере их выпуска Apple.