Maak kennis met OSAMiner, de malware die jarenlang Macs infecteerde zonder te worden gedetecteerd. Hier is alles wat u moet weten.

OSAMiner was een van de meest geniepige malware die bijna vijf jaar lang macOS-apparaten trof. Het gebruikte een vrij ingenieuze truc om te voorkomen dat het werd gedetecteerd en bleef azen op de hardwarebronnen van Macs over de hele wereld.

Hoewel veel mensen denken dat macOS-apparaten ondoordringbaar zijn, heeft deze massale inbreuk malwareonderzoekers bijna vijf jaar lang met stomheid geslagen. Maar wat is OSAMiner? En hoe is het zo lang aan detectie ontsnapt?

Wat is OSAMiner-malware?

OSAMiner is een cryptocurrency-mijnwerker die bijna vijf jaar lang macOS-apparaten wist te infecteren. Het werd ongelooflijk populair in de kringen van malware-onderzoek omdat het bijna een half decennium lang volledige analyse kon weerstaan.

Hoewel het in 2021 officieel aan het licht kwam in een rapport van een beveiligingsbedrijf, SentinelOne, infecteerde OSAMiner sinds 2015 macOS-apparaten. In 2018 meldden Chinese beveiligingssites voor het eerst een trojan die gericht was op macOS-apparaten om te mijnen

instagram viewer
Monero, een populaire privé-cryptocurrency.

Wat OSAMiner zo speciaal maakt in vergelijking met andere crypto-mijnwerkers, is dat het vrijwel onopgemerkt bleef, omdat malware-onderzoekers niet in staat waren om de volledige code op te halen (wat analyse verhinderde).

Hoe infecteerde OSAMiner-malware Macs?

OSAMiner verspreidde zich voornamelijk via illegale games en software en richtte zich voornamelijk op gemeenschappen in Azië-Pacific en de Chinese regio's. Veel mensen downloaden illegale software en ongecensureerde inhoud via ondergrondse torrent-sites, waardoor OSAMiner zich gemakkelijker kan verspreiden.

Het verspreidde zich meestal via populaire illegale software, zoals Microsoft Office voor Mac, en games zoals League of Legends. De installatieprogramma's zouden een AppleScript op de achtergrond downloaden en uitvoeren terwijl mensen de illegale software installeerden.

Dit zou een alleen-uitvoerbaar AppleScript activeren (meer daarover hieronder), wat een nieuwe download zou initiëren, waardoor een andere alleen-uitvoerbare AppleScript-download zou ontstaan. Dit zou ertoe leiden dat een laatste AppleScript wordt gedownload en geïnstalleerd op het macOS-apparaat, waardoor het volgen ongelooflijk moeilijk wordt.

Hoe OSAMiner erin slaagde onopgemerkt te blijven

Om beter te begrijpen hoe OSAMiner zo lang aan detectie kon ontsnappen, is het belangrijk om eerst te praten over run-only AppleScripts (waar OSAMiner op is gebouwd). Simpel gezegd, AppleScripts zijn krachtige tools die automatisering mogelijk maken en meer controle bieden over software op macOS.

Ze gebruiken de AppleScript-taal, die is ontworpen om begrijpelijk en gemakkelijk te lezen te zijn. Een run-only AppleScript is een gecompileerde versie van een AppleScript die bedoeld is om te worden uitgevoerd, maar niet gelezen of gewijzigd.

Wanneer een AppleScript wordt opgeslagen als een script dat alleen kan worden uitgevoerd, wordt het gecompileerd in een vorm die door de computer kan worden begrepen, maar die voor mensen moeilijk te lezen is (bytecode-indeling). Dit voorkomt niet alleen dat anderen de broncode van het script kunnen zien of wijzigen, maar helpt ook bij het beschermen van alle gevoelige informatie die in het script aanwezig zou kunnen zijn.

De uitdrukking "alleen uitvoeren" geeft een duidelijkere betekenis: deze scripts zijn in de eerste plaats niet bedoeld om te worden bewerkt. En omdat mensen de code niet kunnen lezen, werd OSAMiner niet gedetecteerd door beveiligingsonderzoekers.

Wie heeft de OSAMiner-infectie ontdekt?

Het beveiligingsonderzoeksbureau dat OSAMiner ontdekte, SentilOne, gepubliceerd een volledige aanvalsketen en een gedetailleerde lijst van Indicators of Compromise (IoC's) waarin wordt uiteengezet hoe OSAMiner Macs kon infecteren.

Een belangrijk ding om op te merken is dat OSAMiner bleef evolueren naarmate de aanvallers achter de malware steeds meer vertrouwen kregen. Twee Chinese beveiligingsbedrijven rapporteerden in augustus en september 2018 wel over OSAMiner, hoewel hun rapporten niet eens in de buurt kwamen van waartoe OSAMiner in staat was.

Ze rapporteerden wel dat "osascript" werd gedetecteerd, maar de rapporten veroorzaakten niet eens een rimpeling in de veiligheidsonderzoekskringen. De belangrijkste reden hiervoor was dat ze niet de volledige malwarecode konden achterhalen.

Vormt OSAMiner nog steeds een beveiligingsrisico?

Cryptojacking is een ernstige zorg en kan elk apparaat aanvallen. Geneste run-only AppleScripts worden algemeen beschouwd als een serieuze aanvalsvector, en hoewel Apple stappen heeft ondernomen om de beveiliging van zijn apparaten te verbeteren, vormt malware zoals OSAMiner nog steeds een risico.

Zelfs Macs worden geleverd met verschillende beveiligingsfuncties, is het nog steeds essentieel voor gebruikers om een ​​antivirusprogramma te installeren. In het ideale geval is de beste manier om malware-infecties te voorkomen, het downloaden van illegale software of games op uw apparaat te voorkomen. Koop altijd bij originele bronnen om het risico op infectie te verkleinen.

Voer regelmatig scans uit om uw Mac te beschermen

Als u zonder enige bescherming op internet surft, moet u uw systeem regelmatig op malware scannen. Malware-infecties zoals OSAMiner zijn duidelijke voorbeelden van hoe geavanceerd hackers omgaan en hoeveel schade ze in de loop van de tijd kunnen aanrichten.

Er zijn veel manieren om je Mac tegen malware te beschermen en het is belangrijk dat je regelmatig nieuwe beveiligingsupdates installeert wanneer Apple deze uitbrengt.