خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

بدافزار macOS که سال‌ها با استفاده از AppleScript‌های Run-Only شناسایی نشد.

ارشیا یوسفی ادیب ۹ خرداد, ۱۴۰۲ 4 min read

با OSAMiner آشنا شوید، بدافزاری که سال‌ها بدون شناسایی مک‌ها را آلوده می‌کرد. در اینجا همه چیزهایی است که باید بدانید.

OSAMiner یکی از مخرب‌ترین بدافزارهایی بود که تقریباً پنج سال بر دستگاه‌های macOS تأثیر گذاشت. از یک ترفند نسبتاً مبتکرانه برای جلوگیری از شناسایی استفاده کرد و همچنان به طعمه منابع سخت افزاری مک در سراسر جهان ادامه داد.

در حالی که بسیاری از مردم فکر می‌کنند که دستگاه‌های macOS غیرقابل نفوذ هستند، این نفوذ گسترده برای تقریباً پنج سال محققان بدافزار را تحت تأثیر قرار داد. اما OSAMiner چیست؟ و چگونه برای مدت طولانی از تشخیص فرار کرد؟

بدافزار OSAMiner چیست؟

OSAMiner یک ماینر ارز دیجیتال است که تقریباً پنج سال توانست دستگاه‌های macOS را آلوده کند. به دلیل توانایی آن در مقاومت در برابر تجزیه و تحلیل کامل برای تقریباً نیم دهه، در محافل تحقیقاتی بدافزار بسیار محبوب شد.

در حالی که در سال 2021 در گزارشی توسط یک شرکت امنیتی SentinelOne رسماً فاش شد، OSAMiner از سال 2015 دستگاه‌های macOS را آلوده کرده بود. در سال 2018، سایت‌های امنیتی چین برای اولین بار تروجانی را گزارش کردند که دستگاه‌های macOS را هدف قرار داده بود تا Monero، یک ارز دیجیتال محبوب خصوصی را استخراج کند.

چیزی که OSAMiner را در مقایسه با سایر ماینرهای رمزنگاری بسیار خاص می کند این است که تقریباً شناسایی نشد، زیرا محققان بدافزار قادر به بازیابی کل کد آن نبودند (که از تجزیه و تحلیل جلوگیری می کرد).

چگونه بدافزار OSAMiner Mac را آلوده کرد؟

مک بوک با یک سری کد روی صفحه نمایش

OSAMiner عمدتاً از طریق بازی‌ها و نرم‌افزارهای غیرقانونی منتشر شد و عمدتاً جوامعی را در مناطق آسیا-اقیانوسیه و چین هدف قرار داد. بسیاری از مردم نرم‌افزار دزدی و محتوای بدون سانسور را از طریق سایت‌های تورنت زیرزمینی دانلود می‌کنند و انتشار آن را برای OSAMiner آسان‌تر می‌کنند.

مطلب مرتبط:   نحوه شروع و توقف ضبط صفحه در مک

معمولاً از طریق نرم‌افزارهای دزدی دریایی محبوب مانند Microsoft Office برای مک و بازی‌هایی مانند League of Legends گسترش یافت. نصب‌کننده‌ها یک AppleScript را در پس‌زمینه دانلود و اجرا می‌کنند که مردم نرم‌افزار دزدی را نصب می‌کنند.

این امر باعث ایجاد یک AppleScript فقط اجرا می شود (در ادامه در مورد آن بیشتر توضیح می دهیم)، که دانلود دیگری را آغاز می کند و باعث دانلود AppleScript فقط اجرا می شود. این امر باعث می شود تا آخرین اپل اسکریپت بارگیری و بر روی دستگاه macOS نصب شود و ردیابی را بسیار دشوار می کند.

چگونه OSAMiner موفق به عدم شناسایی شد

برای درک بهتر اینکه چگونه OSAMiner می‌تواند برای مدت طولانی از شناسایی فرار کند، مهم است که ابتدا در مورد AppleScript‌های اجرا شونده صحبت کنیم (که OSAMiner بر روی آن ساخته شده است). به زبان ساده، AppleScripts ابزار قدرتمندی است که امکان اتوماسیون را فراهم می کند و کنترل بیشتری بر نرم افزار در macOS ارائه می دهد.

آنها از زبان AppleScript استفاده می کنند که به گونه ای طراحی شده است که قابل درک و خواندن آسان باشد. AppleScript فقط اجرا شده یک نسخه کامپایل شده از AppleScript است که قرار است اجرا شود اما خوانده یا اصلاح نشود.

هنگامی که یک AppleScript به عنوان یک اسکریپت فقط اجرا شده ذخیره می شود، به شکلی کامپایل می شود که برای کامپیوتر قابل درک باشد اما خواندن آن برای انسان دشوار است (فرمت بایت کد). این نه تنها از دیدن یا تغییر کد منبع اسکریپت توسط دیگران جلوگیری می کند، بلکه به محافظت از هرگونه اطلاعات حساسی که ممکن است در اسکریپت وجود دارد نیز کمک کند.

مطلب مرتبط:   تفاوت بین داده های ناشناس و مستعار چیست؟

عبارت “تنها اجرا” معنای واضح تری ارائه می دهد: این اسکریپت ها در وهله اول برای ویرایش قرار ندارند. و از آنجایی که انسان نمی تواند کد را بخواند، OSAMiner توسط محققان امنیتی شناسایی نشد.

چه کسی عفونت OSAMiner را کشف کرد؟

شرکت تحقیقاتی امنیتی که OSAMiner را کشف کرد، SentilOne، یک زنجیره کامل از حملات و فهرستی دقیق از شاخص‌های سازش (IoC) منتشر کرد که نشان می‌داد چگونه OSAMiner می‌توانست مک‌ها را آلوده کند.

نکته مهمی که در اینجا باید به آن اشاره کرد این است که OSAMiner همچنان به تکامل خود ادامه داد زیرا مهاجمان پشت این بدافزار همچنان اعتماد بیشتری به دست آوردند. دو شرکت امنیتی چینی در ماه آگوست و سپتامبر 2018 در مورد OSAMiner گزارش دادند، اگرچه گزارش های آنها حتی به توانایی OSAMiner نزدیک نمی شد.

گزارش چینی که osascript را نشان می دهد

آنها در مورد شناسایی “osascript” گزارش دادند، اما این گزارش ها حتی موجی در محافل تحقیقات امنیتی ایجاد نکردند. دلیل اصلی این امر این بود که آنها نتوانستند کد کامل بدافزار را بازیابی کنند.

آیا OSAMiner هنوز هم خطر امنیتی دارد؟

Cryptojacking یک نگرانی جدی است و می تواند به هر دستگاهی حمله کند. AppleScript های تودرتو که فقط اجرا می شوند به طور گسترده به عنوان یک عامل حمله جدی در نظر گرفته می شوند، و در حالی که اپل اقداماتی را برای بهبود امنیت دستگاه های خود انجام داده است، بدافزارهایی مانند OSAMiner هنوز هم خطرآفرین هستند.

با وجود اینکه مک ها دارای ویژگی های امنیتی مختلفی هستند، هنوز نصب آنتی ویروس برای کاربران ضروری است. در حالت ایده آل، بهترین راه برای جلوگیری از آلودگی به بدافزار این است که از دانلود نرم افزار یا بازی های دزدی در دستگاه خود خودداری کنید. برای کاهش خطر عفونت، همیشه از منابع اصلی خریداری کنید.

مطلب مرتبط:   5 دلیل که چرا اپل ویژن پرو همه دستگاه های شما را جایگزین نمی کند

به طور منظم اسکن ها را برای محافظت از مک خود اجرا کنید

اگر بدون هیچ گونه محافظتی در اینترنت جستجو می کنید، باید سیستم خود را به طور منظم برای بدافزار اسکن کنید. عفونت‌های بدافزاری مانند OSAMiner نمونه‌های واضحی هستند که نشان می‌دهد هکرها چقدر پیشرفته هستند و در طول زمان چقدر آسیب می‌توانند ایجاد کنند.

راه های زیادی برای محافظت از مک شما در برابر بدافزارها وجود دارد، و مهم است که به طور منظم به روز رسانی های امنیتی جدید را همزمان با انتشار اپل نصب کنید.

Tags: