הכירו את OSAMiner, התוכנה הזדונית שהדביקה מחשבי Mac במשך שנים מבלי שזוהתה. הנה כל מה שאתה צריך לדעת.
OSAMiner הייתה אחת התוכנות הזדוניות הכי ערמומיות שהשפיעו על מכשירי macOS במשך כמעט חמש שנים. הוא השתמש בטריק גאוני למדי כדי להימנע מגילוי והמשיך לטרוף את משאבי החומרה של מחשבי Mac ברחבי העולם.
בעוד שאנשים רבים חושבים שמכשירי macOS הם בלתי חדירים, הפרצה האדירה הזו הכשילה את חוקרי תוכנות זדוניות במשך כמעט חמש שנים. אבל מה זה OSAMiner? ואיך זה התחמק מגילוי כל כך הרבה זמן?
מהי תוכנת זדונית OSAMiner?
OSAMiner הוא כורה מטבעות קריפטוגרפיים שהצליח להדביק מכשירי macOS במשך כמעט חמש שנים. זה הפך לפופולרי להפליא בחוגי מחקר תוכנות זדוניות בגלל יכולתו להתנגד לניתוח מלא במשך כמעט חצי עשור.
בעוד שזה התגלה רשמית בשנת 2021 בדו"ח של חברת אבטחה, SentinelOne, OSAMiner הדביק מכשירי macOS מאז 2015. בשנת 2018, אתרי אבטחה סיניים דיווחו לראשונה על טרויאני שכוון למכשירי macOS לכרות Monero, מטבע קריפטוגרפי פרטי פופולרי.
מה שהופך את OSAMiner למיוחד כל כך בהשוואה לכורי קריפטו אחרים הוא שהוא כמעט ולא זוהה, שכן חוקרי תוכנות זדוניות לא הצליחו לאחזר את כל הקוד שלו (מה שמנע ניתוח).
כיצד נדבקה OSAMiner Malware במחשבי Mac?
OSAMiner התפשט בעיקר באמצעות משחקים ותוכנות פיראטיות ובעיקר כוונה לקהילות באזורי אסיה-פסיפיק וסין. אנשים רבים מורידים דרך תוכנה פיראטית ותוכן לא מצונזר אתרי טורנטים תת-קרקעיים, מה שמקל על התפשטות OSAMiner.
זה התפשט לרוב באמצעות תוכנות פיראטיות פופולריות, כמו Microsoft Office for Mac, ומשחקים כמו League of Legends. המתקינים היו מורידים ומבצעים AppleScript ברקע בזמן שאנשים התקינו את התוכנה הפיראטית.
זה יפעיל AppleScript להרצה בלבד (עוד על כך בהמשך), אשר יתחיל הורדה נוספת, ויגרום להורדה נוספת של AppleScript להרצה בלבד. זה יגרום להורדה והתקנה של AppleScript אחרון במכשיר ה-macOS, מה שהופך את המעקב לקשה להפליא.
איך OSAMiner הצליחה לא מזוהה
כדי להבין טוב יותר כיצד OSAMiner יכול להתחמק מזיהוי כל כך הרבה זמן, חשוב לדבר תחילה על AppleScripts להרצה בלבד (עליו בנוי OSAMiner). במילים פשוטות, AppleScripts הם כלים רבי עוצמה המאפשרים אוטומציה ומספקים שליטה רבה יותר על תוכנות ב-macOS.
הם משתמשים בשפת AppleScript, שנועדה להיות מובנת וקלה לקריאה. AppleScript להרצה בלבד הוא גרסה מהודרת של AppleScript שנועדה להיות מופעלת אך לא לקרוא או לשנות.
כאשר AppleScript נשמר כסקריפט להרצה בלבד, הוא מורכב לצורה שניתן להבין על ידי המחשב אך קשה לבני אדם לקרוא (פורמט קוד בייט). זה לא רק מונע מאחרים לראות או לשנות את קוד המקור של הסקריפט, אלא גם עוזר להגן על כל מידע רגיש שעשוי להיות כלול בסקריפט.
הביטוי "ריצה בלבד" מספק משמעות ברורה יותר: התסריטים האלה לא נועדו לעריכה מלכתחילה. ומכיוון שבני אדם לא יכולים לקרוא את הקוד, OSAMiner לא זוהה על ידי חוקרי אבטחה.
מי גילה את זיהום OSAMiner?
חברת מחקר האבטחה שגילתה את OSAMiner, SentilOne, פורסם שרשרת תקיפה מלאה ורשימה מפורטת של אינדיקטורים של פשרה (IoCs) המתארת כיצד OSAMiner הצליח להדביק מחשבי Mac.
דבר שחשוב לציין כאן הוא ש-OSAMiner המשיך להתפתח כאשר התוקפים מאחורי התוכנה הזדונית המשיכו לצבור יותר ביטחון. שתי חברות אבטחה סיניות אכן דיווחו על OSAMiner עוד באוגוסט וספטמבר 2018, אם כי הדיווחים שלהן אפילו לא התקרבו למה ש-OSAMiner היה מסוגל לעשות.
הם אמנם דיווחו על גילוי "osascript", אבל הדיווחים אפילו לא עשו אדווה בחוגי המחקר הביטחוני. הסיבה העיקרית לכך הייתה שהם לא יכלו לאחזר את קוד התוכנה הזדונית המלאה.
האם OSAMiner עדיין מהווה סיכון אבטחה?
קריפטו-jacking מהווה דאגה רצינית ויכולה לתקוף כל מכשיר. AppleScripts עם ריצה בלבד מקוננים נחשבים לרוב לוקטור התקפה רציני, ולמרות שאפל נקטה צעדים לשיפור האבטחה במכשיריה, תוכנות זדוניות כמו OSAMiner עדיין מהוות סיכון.
למרות ש מחשבי Mac מגיעים עם תכונות אבטחה שונות, עדיין חיוני למשתמשים להתקין אנטי וירוס. באופן אידיאלי, הדרך הטובה ביותר למנוע זיהומים של תוכנות זדוניות היא להימנע מהורדת תוכנות פיראטיות או משחקים במכשיר שלך. קנה תמיד ממקורות מקוריים כדי להפחית את הסיכון לזיהום.
הפעל סריקות באופן קבוע כדי להגן על ה-Mac שלך
אם אתה גולש באינטרנט ללא כל הגנה, עליך לסרוק את המערכת שלך לאיתור תוכנות זדוניות באופן קבוע. זיהומים של תוכנות זדוניות כמו OSAMiner הן דוגמאות ברורות לכמה האקרים מתוחכמים מקבלים וכמה נזק הם יכולים לגרום לאורך זמן.
ישנן דרכים רבות להגן על ה-Mac שלך מפני תוכנות זדוניות, וחשוב שתתקין באופן קבוע עדכוני אבטחה חדשים כאשר אפל משחררת אותם.