Scopri OSAMiner, il malware che ha infettato i Mac per anni senza essere rilevato. Ecco tutto ciò che devi sapere.

OSAMiner è stato uno dei malware più subdoli che ha colpito i dispositivi macOS per quasi cinque anni. Ha usato un trucco abbastanza ingegnoso per evitare di essere scoperto e ha continuato a depredare le risorse hardware dei Mac in tutto il mondo.

Mentre molte persone pensano che i dispositivi macOS siano impenetrabili, questa massiccia violazione ha messo in difficoltà i ricercatori di malware per quasi cinque anni. Ma cos'è OSAMiner? E come ha evitato il rilevamento per così tanto tempo?

Cos'è il malware OSAMiner?

OSAMiner è un minatore di criptovaluta che è riuscito a infettare i dispositivi macOS per quasi cinque anni. È diventato incredibilmente popolare nei circoli di ricerca sul malware grazie alla sua capacità di resistere all'analisi completa per quasi mezzo decennio.

Mentre è venuto ufficialmente alla luce nel 2021 in un rapporto di una società di sicurezza, SentinelOne, OSAMiner ha infettato i dispositivi macOS dal 2015. Nel 2018, i siti di sicurezza cinesi hanno segnalato per la prima volta un trojan che prendeva di mira i dispositivi macOS

instagram viewer
Monero, una popolare criptovaluta privata.

Ciò che rende OSAMiner così speciale rispetto ad altri minatori di criptovalute è che è passato praticamente inosservato, poiché i ricercatori di malware non sono stati in grado di recuperare l'intero codice (cosa che ha impedito l'analisi).

In che modo il malware OSAMiner ha infettato i Mac?

OSAMiner si è diffuso principalmente attraverso giochi e software piratati e ha preso di mira principalmente le comunità nelle regioni dell'Asia-Pacifico e della Cina. Molte persone scaricano software piratato e contenuti non censurati siti torrent sotterranei, facilitando la diffusione di OSAMiner.

Si è diffuso più comunemente attraverso il popolare software piratato, come Microsoft Office per Mac, e giochi come League of Legends. Gli installatori scaricavano ed eseguivano un AppleScript in background mentre le persone installavano il software piratato.

Ciò attiverebbe un AppleScript di sola esecuzione (più su quello di seguito), che avvierebbe un altro download, causando un altro download di AppleScript di sola esecuzione. Ciò causerebbe il download e l'installazione di un ultimo AppleScript sul dispositivo macOS, rendendo il tracciamento incredibilmente difficile.

Come OSAMiner è riuscito a passare inosservato

Per capire meglio come OSAMiner potrebbe eludere il rilevamento per così tanto tempo, è importante prima parlare di AppleScript di sola esecuzione (che è ciò su cui è costruito OSAMiner). In poche parole, gli AppleScript sono potenti strumenti che consentono l'automazione e forniscono un maggiore controllo sul software su macOS.

Usano il linguaggio AppleScript, progettato per essere comprensibile e facile da leggere. Un AppleScript di sola esecuzione è una versione compilata di un AppleScript che deve essere eseguito ma non letto o modificato.

Quando un AppleScript viene salvato come script di sola esecuzione, viene compilato in un formato comprensibile per il computer ma difficile da leggere per gli esseri umani (formato bytecode). Questo non solo impedisce ad altri di vedere o modificare il codice sorgente dello script, ma aiuta anche a proteggere qualsiasi informazione riservata che potrebbe essere contenuta nello script.

La frase "run-only" fornisce un significato più chiaro: questi script non sono pensati per essere modificati in primo luogo. E poiché gli esseri umani non possono leggere il codice, OSAMiner non è stato rilevato dai ricercatori di sicurezza.

Chi ha scoperto l'infezione OSAMiner?

La società di ricerca sulla sicurezza che ha scoperto OSAMiner, SentilOne, pubblicato una catena di attacco completa e un elenco dettagliato di indicatori di compromissione (IoC) che illustrano come OSAMiner è stato in grado di infettare i Mac.

Una cosa importante da notare qui è che OSAMiner ha continuato a evolversi man mano che gli aggressori dietro il malware hanno continuato a guadagnare più fiducia. Due società di sicurezza cinesi hanno riferito su OSAMiner ad agosto e settembre 2018, sebbene i loro rapporti non si avvicinassero nemmeno a ciò di cui OSAMiner era capace.

Hanno riferito del rilevamento di "osascript", ma i rapporti non hanno nemmeno fatto scalpore nei circoli di ricerca sulla sicurezza. Il motivo principale era che non potevano recuperare il codice malware completo.

OSAMiner rappresenta ancora un rischio per la sicurezza?

Criptojacking è una preoccupazione seria e può attaccare qualsiasi dispositivo. Gli AppleScript di sola esecuzione nidificati sono ampiamente considerati un serio vettore di attacco e, sebbene Apple abbia adottato misure per migliorare la sicurezza sui suoi dispositivi, malware come OSAMiner rappresentano ancora un rischio.

Nonostante I Mac sono dotati di varie funzionalità di sicurezza, è comunque essenziale che gli utenti installino un antivirus. Idealmente, il modo migliore per prevenire le infezioni da malware è evitare di scaricare software o giochi piratati sul tuo dispositivo. Acquista sempre da fonti originali per mitigare il rischio di infezione.

Esegui regolarmente scansioni per proteggere il tuo Mac

Se navighi in Internet senza alcuna protezione, devi scansionare regolarmente il tuo sistema alla ricerca di malware. Le infezioni da malware come OSAMiner sono chiari esempi di come stanno diventando hacker sofisticati e quanti danni possono causare nel tempo.

Esistono molti modi per proteggere il tuo Mac dai malware ed è importante installare regolarmente nuovi aggiornamenti di sicurezza man mano che Apple li rilascia.