実行専用の AppleScript を使用することで長年検出されなかった macOS マルウェア

実行専用の AppleScript を使用することで長年検出されなかった macOS マルウェア
あなたのような読者が MUO をサポートします。当社サイトのリンクを使用して商品を購入すると、アフィリエイト手数料が発生する場合があります。 続きを読む。

OSAMiner は、約 5 年間にわたって macOS デバイスに影響を与えた最も卑劣なマルウェアの 1 つです。検出を回避するためにかなり巧妙なトリックを使用し、世界中の Mac のハードウェア リソースを食い物にし続けました。





多くの人が macOS デバイスは侵入できないと考えていますが、この大規模な侵害はマルウェア研究者をほぼ 5 年間困惑させました。 OSAMiner とは何でしょうか?そして、どのようにしてこれほど長い間検出を回避したのでしょうか?



その日のメイクアップビデオ スクロールしてコンテンツを続けてください

OSAMiner マルウェアとは何ですか?

OSAMiner は、ほぼ 5 年間にわたって macOS デバイスに感染することができた暗号通貨マイナーです。これは、ほぼ 5 年にわたって完全な分析に耐えられる能力があるため、マルウェア研究界で非常に人気がありました。





OSAMiner は 2021 年にセキュリティ会社 SentinelOne のレポートで正式に明らかになりましたが、OSAMiner は 2015 年から macOS デバイスに感染していました。2018 年に、中国のセキュリティ サイトが macOS デバイスをターゲットにしてマイニングするトロイの木馬を初めて報告しました。 人気のプライベート暗号通貨、Monero 。

OSAMiner が他の暗号マイナーと比べて特別なのは、マルウェア研究者がそのコード全体を取得できなかったため (分析ができなかった)、事実上検出されなかったことです。



OSAMiner マルウェアはどのようにして Mac に感染しましたか?

画面上に一連のコードが表示された MacBook

OSAMiner は主に海賊版のゲームやソフトウェアを通じて拡散し、主にアジア太平洋地域と中国地域のコミュニティをターゲットにしました。多くの人が、海賊版ソフトウェアや無修正コンテンツをダウンロードします。 アンダーグラウンドのトレントサイト により、OSAMiner が拡散しやすくなります。

最も一般的に広まったのは、Microsoft Office for Mac などの人気の海賊版ソフトウェアや、League of Legends などのゲームです。ユーザーが海賊版ソフトウェアをインストールすると、インストーラーは AppleScript をダウンロードしてバックグラウンドで実行します。



これにより、実行専用 AppleScript (詳細は後述) がトリガーされ、別のダウンロードが開始され、別の実行専用 AppleScript ダウンロードが発生します。これにより、最後の AppleScript が macOS デバイスにダウンロードされてインストールされるため、追跡が非常に困難になります。

OSAMiner はどのようにして検出されなかったのか

OSAMiner がどのようにしてこれほど長い間検出を回避できたのかをよりよく理解するには、まず実行専用 AppleScript (OSAMiner が構築されているもの) について説明することが重要です。簡単に言えば、AppleScript は自動化を可能にし、macOS 上のソフトウェアをより詳細に制御できる強力なツールです。



理解しやすく読みやすいように設計された AppleScript 言語を使用します。実行専用 AppleScript は、実行はされるが、読み取りや変更は行われない AppleScript のコンパイルされたバージョンです。

AppleScript が実行専用スクリプトとして保存されると、コンピュータは理解できるが人間が読み取るのは難しい形式 (バイトコード形式) にコンパイルされます。これにより、他人がスクリプトのソース コードを閲覧したり変更したりするのを防ぐだけでなく、スクリプト内に含まれる可能性のある機密情報の保護にも役立ちます。

「実行専用」というフレーズは、より明確な意味を提供します。これらのスクリプトは、そもそも編集することを目的としていません。また、人間はコードを読むことができないため、OSAMiner はセキュリティ研究者によって検出されませんでした。

OSAMiner 感染を発見したのは誰ですか?

OSAMinerを発見したセキュリティ調査会社は、 SentilOne、公開されました 攻撃の完全な連鎖と、OSAMiner がどのようにして Mac に感染することができたのかを概説する侵害痕跡 (IoC) の詳細なリスト。

ここで注目すべき重要な点は、マルウェアの背後にいる攻撃者が自信を深め続けるにつれて、OSAMiner も進化し続けているということです。中国のセキュリティ企業 2 社が 2018 年 8 月と 9 月に OSAMiner について報告しましたが、その報告書は OSAMiner の能力には及ばなかった。

osascriptを示す中国の報道

彼らは「osascript」が検出されたことを報告しましたが、その報告はセキュリティ研究界に波紋を広げることさえありませんでした。その主な理由は、完全なマルウェア コードを取得できなかったことです。

デフォルトのGoogleアカウントを作成する方法

OSAMiner には依然としてセキュリティ上のリスクがありますか?

クリプトジャッキング これは深刻な懸念事項であり、あらゆるデバイスを攻撃する可能性があります。ネストされた実行専用 AppleScript は深刻な攻撃ベクトルであると広く考えられており、Apple はデバイスのセキュリティを向上させるための措置を講じていますが、OSAMiner のようなマルウェアは依然としてリスクをもたらします。

それでも Macにはさまざまなセキュリティ機能が搭載されています 、ユーザーがウイルス対策ソフトウェアをインストールすることは依然として不可欠です。理想的には、マルウェア感染を防ぐ最善の方法は、デバイスに海賊版のソフトウェアやゲームをダウンロードしないことです。感染のリスクを軽減するために、必ず正規の販売元から購入してください。

定期的にスキャンを実行して Mac を保護する

何も保護せずにインターネットを閲覧する場合は、システムを定期的にスキャンしてマルウェアを検出する必要があります。 OSAMiner のようなマルウェア感染は、高度なハッカーがどのように攻撃を受け、時間の経過とともにどれほどの損害を引き起こす可能性があるかを示す明らかな例です。

Mac をマルウェアから保護する方法はたくさんありますが、Apple がリリースする新しいセキュリティ アップデートを定期的にインストールすることが重要です。