มัลแวร์ macOS ที่ตรวจไม่พบมานานหลายปีโดยใช้ AppleScripts แบบรันอย่างเดียว

มัลแวร์ macOS ที่ตรวจไม่พบมานานหลายปีโดยใช้ AppleScripts แบบรันอย่างเดียว
ผู้อ่านเช่นคุณช่วยสนับสนุน MUO เมื่อคุณทำการซื้อโดยใช้ลิงก์บนเว็บไซต์ของเรา เราอาจได้รับค่าคอมมิชชั่นจากพันธมิตร อ่านเพิ่มเติม.

OSAMiner เป็นหนึ่งในมัลแวร์ลับที่ส่งผลกระทบต่ออุปกรณ์ macOS เป็นเวลาเกือบห้าปี มันใช้กลอุบายที่ค่อนข้างแยบยลเพื่อหลีกเลี่ยงการถูกตรวจจับและยังคงล่าเหยื่อในทรัพยากรฮาร์ดแวร์ของ Mac ทั่วโลก





ในขณะที่หลายคนคิดว่าอุปกรณ์ macOS นั้นผ่านไม่ได้ การเจาะระบบครั้งใหญ่นี้ทำให้นักวิจัยด้านมัลแวร์นิ่งงันมาเกือบห้าปี แต่ OSAMiner คืออะไร? แล้วมันหลบเลี่ยงการตรวจจับได้นานขนาดนี้ได้อย่างไร?



สร้างวิดีโอประจำวัน เลื่อนเพื่อดำเนินการต่อกับเนื้อหา

มัลแวร์ OSAMiner คืออะไร?

OSAMiner เป็นเครื่องขุด cryptocurrency ที่จัดการกับอุปกรณ์ macOS ที่ติดไวรัสมาเกือบห้าปี มันกลายเป็นที่นิยมอย่างไม่น่าเชื่อในแวดวงการวิจัยมัลแวร์เนื่องจากความสามารถในการต่อต้านการวิเคราะห์เต็มรูปแบบมาเกือบครึ่งทศวรรษ





ในขณะที่มันปรากฏอย่างเป็นทางการในปี 2021 ในรายงานของบริษัทรักษาความปลอดภัย SentinelOne OSAMiner ได้แพร่ระบาดในอุปกรณ์ macOS ตั้งแต่ปี 2015 ในปี 2018 ไซต์ความปลอดภัยของจีนได้รายงานโทรจันที่กำหนดเป้าหมายอุปกรณ์ macOS เพื่อขุด Monero สกุลเงินดิจิตอลยอดนิยม .

สิ่งที่ทำให้ OSAMiner มีความพิเศษเมื่อเทียบกับเครื่องขุด crypto อื่น ๆ คือมันแทบจะตรวจไม่พบ เนื่องจากนักวิจัยมัลแวร์ไม่สามารถเรียกคืนรหัสทั้งหมดได้ (ซึ่งทำให้ไม่สามารถวิเคราะห์ได้)



มัลแวร์ OSAMiner ติดเชื้อ Mac ได้อย่างไร

MacBook พร้อมชุดรหัสบนหน้าจอ

OSAMiner แพร่กระจายผ่านเกมและซอฟต์แวร์ละเมิดลิขสิทธิ์เป็นหลัก และมีเป้าหมายหลักเป็นชุมชนในภูมิภาคเอเชียแปซิฟิกและจีน หลายคนดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์และเนื้อหาที่ไม่ผ่านการเซ็นเซอร์ เว็บไซต์ torrent ใต้ดิน ทำให้ OSAMiner แพร่กระจายได้ง่ายขึ้น

แพร่กระจายผ่านซอฟต์แวร์ละเมิดลิขสิทธิ์ยอดนิยม เช่น Microsoft Office สำหรับ Mac และเกมอย่าง League of Legends โปรแกรมติดตั้งจะดาวน์โหลดและเรียกใช้ AppleScript ในพื้นหลังเมื่อมีคนติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์



สิ่งนี้จะเรียกใช้ AppleScript ที่รันอย่างเดียว (เพิ่มเติมด้านล่าง) ซึ่งจะเริ่มการดาวน์โหลดอีกครั้ง ทำให้มีการดาวน์โหลด AppleScript ที่รันอย่างเดียวอีกครั้ง ซึ่งจะทำให้ดาวน์โหลดและติดตั้ง AppleScript สุดท้ายหนึ่งรายการบนอุปกรณ์ macOS ทำให้การติดตามทำได้ยากอย่างไม่น่าเชื่อ

วิธีที่ OSAMiner จัดการให้ตรวจไม่พบ

เพื่อให้เข้าใจได้ดีขึ้นว่า OSAMiner สามารถหลบเลี่ยงการตรวจจับได้นานเพียงใด สิ่งสำคัญคือต้องพูดถึง AppleScripts แบบรันอย่างเดียวก่อน (ซึ่งเป็นสิ่งที่ OSAMiner สร้างขึ้น) พูดง่ายๆ ก็คือ AppleScripts เป็นเครื่องมืออันทรงพลังที่ช่วยให้ทำงานอัตโนมัติและให้การควบคุมซอฟต์แวร์บน macOS ได้ดียิ่งขึ้น



พวกเขาใช้ภาษา AppleScript ซึ่งออกแบบมาให้เข้าใจและอ่านง่าย AppleScript ที่รันอย่างเดียวเป็นเวอร์ชันที่คอมไพล์แล้วของ AppleScript ที่กำหนดให้ดำเนินการแต่ไม่ถูกอ่านหรือแก้ไข

เมื่อ AppleScript ถูกบันทึกเป็นสคริปต์ที่เรียกใช้เท่านั้น สคริปต์นั้นจะถูกคอมไพล์เป็นรูปแบบที่คอมพิวเตอร์สามารถเข้าใจได้ แต่มนุษย์อ่านได้ยาก (รูปแบบไบต์โค้ด) สิ่งนี้ไม่เพียงป้องกันไม่ให้ผู้อื่นเห็นหรือแก้ไขซอร์สโค้ดของสคริปต์ แต่ยังช่วยป้องกันข้อมูลที่ละเอียดอ่อนซึ่งอาจมีอยู่ในสคริปต์ด้วย

กราฟิกแบบบูรณาการ/ออนบอร์ด

วลี 'รันอย่างเดียว' ให้ความหมายที่ชัดเจนยิ่งขึ้น: สคริปต์เหล่านี้ไม่ได้มีไว้ให้แก้ไขตั้งแต่แรก และเนื่องจากมนุษย์ไม่สามารถอ่านรหัสได้ OSAMiner จึงไม่ตรวจพบโดยนักวิจัยด้านความปลอดภัย

ใครเป็นผู้ค้นพบการติดเชื้อ OSAMiner?

บริษัทวิจัยด้านความปลอดภัยที่ค้นพบ OSAMiner SentilOne ตีพิมพ์ ห่วงโซ่การโจมตีเต็มรูปแบบและรายการตัวบ่งชี้การประนีประนอม (IoCs) โดยละเอียดซึ่งสรุปว่า OSAMiner สามารถทำให้ Mac ติดเชื้อได้อย่างไร

สิ่งสำคัญที่ควรทราบที่นี่คือ OSAMiner พัฒนาอย่างต่อเนื่องในขณะที่ผู้โจมตีที่อยู่เบื้องหลังมัลแวร์ยังคงได้รับความมั่นใจมากขึ้น บริษัทรักษาความปลอดภัยของจีนสองแห่งรายงานเกี่ยวกับ OSAMiner ย้อนกลับไปในเดือนสิงหาคมและกันยายน 2018 แม้ว่ารายงานของพวกเขาจะไม่ได้ใกล้เคียงกับที่ OSAMiner สามารถทำได้ด้วยซ้ำ

รายงานภาษาจีนแสดง osascript

พวกเขารายงานการตรวจพบ 'osascript' แต่รายงานดังกล่าวไม่ได้สร้างแรงกระเพื่อมในแวดวงการวิจัยด้านความปลอดภัยด้วยซ้ำ สาเหตุหลักคือพวกเขาไม่สามารถเรียกรหัสมัลแวร์ทั้งหมดได้

OSAMiner ยังคงมีความเสี่ยงด้านความปลอดภัยหรือไม่?

การเข้ารหัสลับ เป็นปัญหาร้ายแรงและสามารถโจมตีอุปกรณ์ใดๆ ก็ได้ AppleScripts ที่รันอย่างเดียวที่ซ้อนกันนั้นถูกพิจารณาอย่างกว้างขวางว่าเป็นเวกเตอร์การโจมตีที่ร้ายแรง และในขณะที่ Apple ได้ดำเนินการเพื่อปรับปรุงความปลอดภัยบนอุปกรณ์ของตน มัลแวร์อย่าง OSAMiner ยังคงมีความเสี่ยง

ถึงแม้ว่า Macs มาพร้อมกับฟีเจอร์ความปลอดภัยต่างๆ ผู้ใช้ยังคงจำเป็นต้องติดตั้งโปรแกรมป้องกันไวรัส วิธีที่ดีที่สุดในการป้องกันการติดมัลแวร์คือการหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์หรือเกมละเมิดลิขสิทธิ์บนอุปกรณ์ของคุณ ซื้อจากแหล่งดั้งเดิมเสมอเพื่อลดความเสี่ยงของการติดเชื้อ

เรียกใช้การสแกนเป็นประจำเพื่อปกป้อง Mac ของคุณ

หากคุณท่องอินเทอร์เน็ตโดยไม่มีการป้องกัน คุณต้องสแกนระบบของคุณเพื่อหามัลแวร์เป็นประจำ การติดมัลแวร์ เช่น OSAMiner เป็นตัวอย่างที่ชัดเจนว่าแฮ็กเกอร์ที่มีความซับซ้อนได้รับมาอย่างไร และสามารถสร้างความเสียหายได้มากเพียงใดเมื่อเวลาผ่านไป

มีหลายวิธีในการปกป้อง Mac ของคุณจากมัลแวร์ และสิ่งสำคัญคือคุณต้องติดตั้งรายการอัพเดทความปลอดภัยใหม่ๆ เป็นประจำเมื่อ Apple ปล่อยอัพเดทเหล่านั้น