Γνωρίστε το OSAMiner, το κακόβουλο λογισμικό που μόλυνε τους Mac για χρόνια χωρίς να εντοπιστεί. Εδώ είναι όλα όσα πρέπει να γνωρίζετε.
Το OSAMiner ήταν ένα από τα πιο ύπουλα κακόβουλα προγράμματα που επηρέασαν συσκευές macOS για σχεδόν πέντε χρόνια. Χρησιμοποίησε ένα αρκετά έξυπνο τέχνασμα για να αποφύγει τον εντοπισμό και συνέχισε να λεηλατεί τους πόρους υλικού των Mac σε όλο τον κόσμο.
Ενώ πολλοί άνθρωποι πιστεύουν ότι οι συσκευές macOS είναι αδιαπέραστες, αυτή η τεράστια παραβίαση παραβίασε τους ερευνητές κακόβουλου λογισμικού για σχεδόν πέντε χρόνια. Τι είναι όμως το OSAMiner; Και πώς απέφυγε τον εντοπισμό για τόσο καιρό;
Τι είναι το κακόβουλο λογισμικό OSAMiner;
Το OSAMiner είναι ένας εξορύκτης κρυπτονομισμάτων που κατάφερε να μολύνει συσκευές macOS για σχεδόν πέντε χρόνια. Έγινε απίστευτα δημοφιλές στους ερευνητικούς κύκλους κακόβουλου λογισμικού λόγω της ικανότητάς του να αντιστέκεται στην πλήρη ανάλυση για σχεδόν μισή δεκαετία.
Ενώ ήρθε επίσημα στο φως το 2021 σε μια έκθεση μιας εταιρείας ασφαλείας, SentinelOne, το OSAMiner είχε μολύνει συσκευές macOS από το 2015. Το 2018, οι κινεζικοί ιστότοποι ασφαλείας ανέφεραν για πρώτη φορά έναν trojan που στόχευε συσκευές macOS για εξόρυξη
Monero, ένα δημοφιλές ιδιωτικό κρυπτονόμισμα.Αυτό που κάνει το OSAMiner τόσο ξεχωριστό σε σύγκριση με άλλους εξορύκτες κρυπτογράφησης είναι ότι ουσιαστικά δεν ανιχνεύτηκε, καθώς οι ερευνητές κακόβουλου λογισμικού δεν μπόρεσαν να ανακτήσουν ολόκληρο τον κώδικά του (πράγμα που εμπόδισε την ανάλυση).
Πώς το κακόβουλο λογισμικό OSAMiner μόλυνε τους Mac;
Το OSAMiner εξαπλώθηκε κυρίως μέσω πειρατικών παιχνιδιών και λογισμικού και κυρίως στόχευσε κοινότητες στις περιοχές της Ασίας-Ειρηνικού και της Κίνας. Πολλοί άνθρωποι κατεβάζουν πειρατικό λογισμικό και περιεχόμενο χωρίς λογοκρισία μέσω τοποθεσίες υπόγειων χειμάρρων, διευκολύνοντας τη διάδοση του OSAMiner.
Διαδόθηκε συχνότερα μέσω δημοφιλούς πειρατικού λογισμικού, όπως το Microsoft Office για Mac, και παιχνιδιών όπως το League of Legends. Τα προγράμματα εγκατάστασης θα κατέβαζαν και θα εκτελούσαν ένα AppleScript στο παρασκήνιο καθώς οι άνθρωποι εγκαθιστούσαν το πειρατικό λογισμικό.
Αυτό θα ενεργοποιούσε ένα AppleScript μόνο για εκτέλεση (περισσότερα για αυτό παρακάτω), το οποίο θα εκκινούσε μια άλλη λήψη, προκαλώντας μια άλλη λήψη AppleScript μόνο για εκτέλεση. Αυτό θα προκαλούσε λήψη και εγκατάσταση ενός τελευταίου AppleScript στη συσκευή macOS, καθιστώντας την παρακολούθηση απίστευτα δύσκολη.
Πώς το OSAMiner κατάφερε να μην εντοπιστεί
Για να κατανοήσουμε καλύτερα πώς το OSAMiner θα μπορούσε να αποφύγει τον εντοπισμό για τόσο μεγάλο χρονικό διάστημα, είναι σημαντικό να μιλήσουμε πρώτα για AppleScripts μόνο για εκτέλεση (στα οποία είναι χτισμένο το OSAMiner). Με απλά λόγια, τα AppleScripts είναι ισχυρά εργαλεία που επιτρέπουν την αυτοματοποίηση και παρέχουν μεγαλύτερο έλεγχο του λογισμικού στο macOS.
Χρησιμοποιούν τη γλώσσα AppleScript, η οποία έχει σχεδιαστεί για να είναι κατανοητή και ευανάγνωστη. Ένα AppleScript μόνο για εκτέλεση είναι μια μεταγλωττισμένη έκδοση ενός AppleScript που προορίζεται να εκτελεστεί αλλά όχι να διαβαστεί ή να τροποποιηθεί.
Όταν ένα AppleScript αποθηκεύεται ως δέσμη ενεργειών μόνο για εκτέλεση, μεταγλωττίζεται σε μια μορφή που είναι κατανοητή από τον υπολογιστή, αλλά είναι δύσκολο να διαβάσει ο άνθρωπος (μορφή bytecode). Αυτό όχι μόνο εμποδίζει τους άλλους να δουν ή να τροποποιήσουν τον πηγαίο κώδικα του σεναρίου, αλλά βοηθά επίσης στην προστασία τυχόν ευαίσθητων πληροφοριών που ενδέχεται να περιέχονται στο σενάριο.
Η φράση "μόνο για εκτέλεση" παρέχει ένα σαφέστερο νόημα: αυτά τα σενάρια δεν προορίζονται εξαρχής για επεξεργασία. Και επειδή οι άνθρωποι δεν μπορούν να διαβάσουν τον κώδικα, το OSAMiner δεν εντοπίστηκε από ερευνητές ασφαλείας.
Ποιος ανακάλυψε τη μόλυνση OSAMiner;
Η εταιρεία ερευνών ασφαλείας που ανακάλυψε το OSAMiner, SentilOne, δημοσιεύτηκε μια πλήρη αλυσίδα επιθέσεων και μια λεπτομερή λίστα δεικτών συμβιβασμού (IoC) που περιγράφει πώς το OSAMiner μπόρεσε να μολύνει Mac.
Ένα σημαντικό πράγμα που πρέπει να σημειωθεί εδώ είναι ότι το OSAMiner συνέχισε να εξελίσσεται καθώς οι εισβολείς πίσω από το κακόβουλο λογισμικό συνέχισαν να αποκτούν περισσότερη εμπιστοσύνη. Δύο κινεζικές εταιρείες ασφαλείας έκαναν αναφορά για το OSAMiner τον Αύγουστο και τον Σεπτέμβριο του 2018, αν και οι αναφορές τους δεν πλησίαζαν καν το τι μπορούσε να κάνει το OSAMiner.
Πράγματι ανέφεραν ότι ανιχνεύτηκε "osascript", αλλά οι αναφορές δεν έκαναν καν κύμα στους ερευνητικούς κύκλους ασφαλείας. Ο κύριος λόγος για αυτό ήταν ότι δεν μπορούσαν να ανακτήσουν τον πλήρη κώδικα κακόβουλου λογισμικού.
Το OSAMiner εξακολουθεί να αποτελεί κίνδυνο για την ασφάλεια;
Cryptojacking είναι μια σοβαρή ανησυχία και μπορεί να επιτεθεί σε οποιαδήποτε συσκευή. Τα ένθετα AppleScripts μόνο για εκτέλεση θεωρούνται ευρέως ως ένας σοβαρός φορέας επίθεσης και ενώ η Apple έχει λάβει μέτρα για τη βελτίωση της ασφάλειας στις συσκευές της, κακόβουλο λογισμικό όπως το OSAMiner εξακολουθεί να αποτελεί κίνδυνο.
Αν και Τα Mac έρχονται με διάφορα χαρακτηριστικά ασφαλείας, εξακολουθεί να είναι απαραίτητο για τους χρήστες να εγκαταστήσουν ένα πρόγραμμα προστασίας από ιούς. Στην ιδανική περίπτωση, ο καλύτερος τρόπος για να αποτρέψετε μολύνσεις από κακόβουλο λογισμικό είναι να αποφύγετε τη λήψη πειρατικού λογισμικού ή παιχνιδιών στη συσκευή σας. Πάντα να αγοράζετε από αρχικές πηγές για να μειώσετε τον κίνδυνο μόλυνσης.
Εκτελείτε τακτικά σαρώσεις για να προστατεύσετε το Mac σας
Εάν περιηγείστε στο Διαδίκτυο χωρίς καμία προστασία, πρέπει να σαρώνετε τακτικά το σύστημά σας για κακόβουλο λογισμικό. Οι μολύνσεις από κακόβουλο λογισμικό όπως το OSAMiner είναι ξεκάθαρα παραδείγματα του πόσο εξελιγμένοι χάκερ γίνονται και πόση ζημιά μπορούν να προκαλέσουν με την πάροδο του χρόνου.
Υπάρχουν πολλοί τρόποι για να προστατεύσετε το Mac σας από κακόβουλο λογισμικό και είναι σημαντικό να εγκαθιστάτε τακτικά νέες ενημερώσεις ασφαλείας καθώς η Apple τις κυκλοφορεί.