Seznamte se s OSAMiner, malwarem, který roky infikoval počítače Mac, aniž by byl detekován. Zde je vše, co potřebujete vědět.
OSAMiner byl jedním z nejzáludnějších malwarů, které postihovaly zařízení macOS téměř pět let. Použil poměrně důmyslný trik, aby se vyhnul odhalení a pokračoval v kořisti na hardwarových zdrojích počítačů Mac po celém světě.
Zatímco mnoho lidí si myslí, že zařízení macOS jsou neprostupná, toto masivní narušení zaráželo výzkumníky malwaru téměř pět let. Ale co je OSAMiner? A jak se tak dlouho vyhýbal detekci?
Co je OSAMiner Malware?
OSAMiner je těžař kryptoměn, kterému se podařilo infikovat zařízení macOS téměř pět let. V kruzích výzkumu malwaru se stal neuvěřitelně populární díky své schopnosti odolávat úplné analýze téměř půl desetiletí.
Zatímco to oficiálně vyšlo najevo v roce 2021 ve zprávě bezpečnostní firmy SentinelOne, OSAMiner infikoval zařízení macOS od roku 2015. V roce 2018 čínské bezpečnostní stránky poprvé ohlásily trojský kůň, který se zaměřoval na zařízení macOS k těžbě Monero, oblíbená soukromá kryptoměna.
To, co dělá OSAMiner tak výjimečným ve srovnání s jinými těžaři kryptoměn, je to, že zůstal prakticky nedetekován, protože výzkumníci malwaru nebyli schopni získat celý jeho kód (což bránilo analýze).
Jak OSAMiner malware infikoval počítače Mac?
OSAMiner se šířil především prostřednictvím pirátských her a softwaru a primárně se zaměřoval na komunity v asijsko-pacifických a čínských regionech. Mnoho lidí si stahuje pirátský software a necenzurovaný obsah podzemní torrent stránky, což OSAMineru usnadňuje šíření.
Šíří se nejčastěji prostřednictvím oblíbeného pirátského softwaru, jako je Microsoft Office pro Mac, a her, jako je League of Legends. Instalační programy by si stáhly a spustily AppleScript na pozadí, když lidé instalovali pirátský software.
To by spustilo pouze spustitelný AppleScript (více o tom níže), který by inicioval další stahování, což by způsobilo další stahování AppleScriptu pouze pro běh. To by způsobilo stažení a instalaci posledního skriptu AppleScript na zařízení macOS, což by neuvěřitelně ztížilo sledování.
Jak OSAMiner dokázal zůstat nezjištěn
Abychom lépe pochopili, jak se OSAMiner mohl tak dlouho vyhýbat detekci, je důležité nejprve mluvit o skriptech typu run-only AppleScript (na kterých je OSAMiner postaven). Jednoduše řečeno, AppleScripts jsou výkonné nástroje, které umožňují automatizaci a poskytují větší kontrolu nad softwarem v macOS.
Používají jazyk AppleScript, který je navržen tak, aby byl srozumitelný a snadno čitelný. Spustit pouze skript AppleScript je zkompilovaná verze skriptu AppleScript, který je určen ke spuštění, ale nikoli ke čtení nebo úpravě.
Když je skript AppleScript uložen jako skript pouze pro spuštění, je zkompilován do podoby, které počítač rozumí, ale je pro člověka obtížně čitelný (formát bajtového kódu). To nejen brání ostatním v zobrazení nebo úpravě zdrojového kódu skriptu, ale také pomáhá chránit jakékoli citlivé informace, které mohou být obsaženy ve skriptu.
Fráze „pouze spustit“ poskytuje jasnější význam: tyto skripty nejsou primárně určeny k úpravám. A protože lidé nemohou číst kód, bezpečnostní výzkumníci OSAMiner nezjistili.
Kdo objevil infekci OSAMiner?
Bezpečnostní výzkumná firma, která objevila OSAMiner, SentilOne, zveřejněno úplný řetězec útoků a podrobný seznam indikátorů kompromisu (IoC) popisující, jak OSAMiner dokázal infikovat počítače Mac.
Zde je důležité poznamenat, že OSAMiner se nadále vyvíjel, protože útočníci za malwarem nadále získávali větší důvěru. Dvě čínské bezpečnostní firmy informovaly o OSAMiner již v srpnu a září 2018, i když se jejich zprávy ani nepřibližovaly tomu, čeho byl OSAMiner schopen.
Hlásili sice o odhalení "osascriptu", ale tyto zprávy ani nezaznamenaly vlnu v kruzích bezpečnostního výzkumu. Hlavním důvodem bylo, že nemohli získat celý kód malwaru.
Představuje OSAMiner stále bezpečnostní riziko?
Cryptojacking je vážným problémem a může napadnout jakékoli zařízení. Vnořené pouze run-only skripty AppleScript jsou široce považovány za závažný vektor útoku, a přestože společnost Apple podnikla kroky ke zlepšení zabezpečení svých zařízení, malware jako OSAMiner stále představuje riziko.
Přestože Macy přicházejí s různými bezpečnostními funkcemi, je stále nezbytné, aby si uživatelé nainstalovali antivirus. V ideálním případě je nejlepším způsobem, jak zabránit malwarovým infekcím, vyhnout se stahování pirátského softwaru nebo her do vašeho zařízení. Vždy nakupujte z originálních zdrojů, abyste snížili riziko infekce.
Pravidelně spouštějte skenování, abyste ochránili svůj Mac
Pokud prohlížíte internet bez jakékoli ochrany, musíte svůj systém pravidelně kontrolovat na přítomnost malwaru. Malwarové infekce, jako je OSAMiner, jsou jasnými příklady toho, jak sofistikovaní hackeři dostávají a jak velké škody mohou časem způsobit.
Existuje mnoho způsobů, jak chránit váš Mac před malwarem, a je důležité, abyste pravidelně instalovali nové bezpečnostní aktualizace, jakmile je Apple uvolní.