Contents
OSAMiner là một loại phần mềm độc hại đã âm thầm xâm nhập vào các thiết bị macOS trong suốt gần năm năm. Sử dụng một thủ thuật tinh vi để tránh bị phát hiện, OSAMiner đã liên tục khai thác tài nguyên phần cứng của các máy Mac trên toàn cầu. Dù nhiều người cho rằng các thiết bị macOS là bất khả xâm phạm, sự xâm nhập lớn này đã khiến các nhà nghiên cứu về phần mềm độc hại bối rối suốt gần năm năm. Vậy OSAMiner là gì và làm thế nào nó có thể tránh được sự phát hiện trong thời gian dài như vậy?
OSAMiner Là Gì?
OSAMiner là một phần mềm khai thác tiền điện tử đã xâm nhập vào các thiết bị macOS trong suốt gần năm năm. Nó trở nên nổi tiếng trong cộng đồng nghiên cứu phần mềm độc hại nhờ khả năng chống lại sự phân tích hoàn toàn trong gần nửa thập kỷ.
Mặc dù chính thức được công bố vào năm 2021 trong một báo cáo của công ty bảo mật SentinelOne, OSAMiner đã bắt đầu xâm nhập vào các thiết bị macOS từ năm 2015. Vào năm 2018, các trang web bảo mật Trung Quốc lần đầu tiên báo cáo về một loại trojan nhắm vào các thiết bị macOS để khai thác Monero, một loại tiền điện tử riêng tư phổ biến.
Điều làm cho OSAMiner trở nên đặc biệt so với các phần mềm khai thác tiền điện tử khác là nó gần như không bị phát hiện, vì các nhà nghiên cứu không thể lấy được toàn bộ mã nguồn của nó (điều này ngăn cản việc phân tích).
OSAMiner Lây Nhiễm Vào Máy Mac Như Thế Nào?
OSAMiner chủ yếu lan truyền qua các trò chơi và phần mềm bị hack, chủ yếu nhắm vào cộng đồng ở khu vực châu Á-Thái Bình Dương và Trung Quốc. Nhiều người tải xuống phần mềm bị hack và nội dung không bị kiểm duyệt qua các trang web torrent ngầm, giúp OSAMiner dễ dàng lan truyền hơn.
Nó lan truyền phổ biến nhất qua các phần mềm bị hack phổ biến như Microsoft Office cho Mac và các trò chơi như League of Legends. Các bộ cài đặt sẽ tải xuống và thực thi một AppleScript ở chế độ nền khi người dùng cài đặt phần mềm bị hack.
Điều này sẽ kích hoạt một AppleScript chỉ chạy (sẽ được giải thích thêm bên dưới), sau đó sẽ khởi tạo một tải xuống khác, gây ra một tải xuống AppleScript chỉ chạy khác. Điều này sẽ dẫn đến việc tải xuống và cài đặt một AppleScript cuối cùng trên thiết bị macOS, khiến việc theo dõi trở nên cực kỳ khó khăn.
Máy tính MacBook với chuỗi mã trên màn hình
OSAMiner Tránh Được Sự Phát Hiện Như Thế Nào?
Để hiểu rõ hơn cách OSAMiner có thể tránh được sự phát hiện trong thời gian dài như vậy, điều quan trọng là phải hiểu về AppleScript chỉ chạy (mà OSAMiner được xây dựng trên đó). Đơn giản là, AppleScript là công cụ mạnh mẽ cho phép tự động hóa và cung cấp quyền kiểm soát lớn hơn đối với phần mềm trên macOS.
Chúng sử dụng ngôn ngữ AppleScript, được thiết kế để dễ hiểu và dễ đọc. Một AppleScript chỉ chạy là phiên bản được biên dịch của một AppleScript, được thiết kế để thực thi nhưng không thể đọc hoặc sửa đổi.
Khi một AppleScript được lưu dưới dạng script chỉ chạy, nó được biên dịch thành một dạng mà máy tính có thể hiểu nhưng rất khó đọc đối với con người (định dạng bytecode). Điều này không chỉ ngăn cản người khác xem hoặc sửa đổi mã nguồn của script mà còn giúp bảo vệ bất kỳ thông tin nhạy cảm nào có thể chứa trong script.
Cụm từ “chỉ chạy” cung cấp ý nghĩa rõ ràng hơn: các script này không được thiết kế để chỉnh sửa ngay từ đầu. Và vì con người không thể đọc mã, OSAMiner đã không bị phát hiện bởi các nhà nghiên cứu bảo mật.
Ai Đã Phát Hiện Ra Sự Lây Nhiễm OSAMiner?
Công ty nghiên cứu bảo mật đã phát hiện ra OSAMiner, SentinelOne, đã công bố một chuỗi tấn công đầy đủ và một danh sách chi tiết các dấu hiệu của sự xâm nhập (IoCs) mô tả cách OSAMiner có thể lây nhiễm vào các máy Mac.
Điều quan trọng cần lưu ý ở đây là OSAMiner tiếp tục phát triển khi những kẻ tấn công đứng sau phần mềm độc hại này ngày càng tự tin hơn. Hai công ty bảo mật Trung Quốc đã báo cáo về OSAMiner vào tháng 8 và tháng 9 năm 2018, mặc dù các báo cáo của họ không hề đến gần với những gì OSAMiner có thể làm.
Báo cáo của Trung Quốc hiển thị osascript
Họ đã báo cáo về việc phát hiện “osascript”, nhưng các báo cáo này thậm chí không gây được sự chú ý trong cộng đồng nghiên cứu bảo mật. Lý do chính cho điều này là họ không thể lấy được toàn bộ mã phần mềm độc hại.
OSAMiner Có Còn Là Mối Nguy Hiểm Bảo Mật?
Khai thác tiền điện tử là một mối quan ngại nghiêm trọng và có thể tấn công bất kỳ thiết bị nào. Các AppleScript chỉ chạy lồng nhau được coi là một vectơ tấn công nghiêm trọng, và mặc dù Apple đã thực hiện các bước để cải thiện bảo mật trên các thiết bị của mình, phần mềm độc hại như OSAMiner vẫn còn là một mối nguy.
Dù các máy Mac đi kèm với nhiều tính năng bảo mật, việc cài đặt phần mềm diệt virus vẫn là điều cần thiết cho người dùng. Lý tưởng nhất, cách tốt nhất để ngăn chặn lây nhiễm phần mềm độc hại là tránh tải xuống phần mềm hoặc trò chơi bị hack trên thiết bị của bạn. Luôn mua từ nguồn gốc để giảm thiểu rủi ro bị lây nhiễm.
Thường Xuyên Chạy Quét Để Bảo Vệ Máy Mac Của Bạn
Nếu bạn duyệt internet mà không có bất kỳ biện pháp bảo vệ nào, bạn cần quét hệ thống của mình để tìm phần mềm độc hại thường xuyên. Các lây nhiễm phần mềm độc hại như OSAMiner là ví dụ rõ ràng về sự tinh vi của các hacker và thiệt hại mà họ có thể gây ra theo thời gian.
Có nhiều cách để bảo vệ máy Mac của bạn khỏi phần mềm độc hại, và điều quan trọng là bạn phải thường xuyên cài đặt các bản cập nhật bảo mật mới khi Apple phát hành chúng.
-
OSAMiner là gì?
OSAMiner là một phần mềm độc hại khai thác tiền điện tử đã xâm nhập vào các thiết bị macOS từ năm 2015 đến năm 2021. -
OSAMiner lây nhiễm vào máy Mac như thế nào?
OSAMiner chủ yếu lan truyền qua các trò chơi và phần mềm bị hack, thường qua các trang web torrent ngầm. -
Làm thế nào OSAMiner có thể tránh được sự phát hiện?
OSAMiner sử dụng AppleScript chỉ chạy, giúp mã nguồn của nó khó bị đọc và phân tích. -
Ai đã phát hiện ra OSAMiner?
Công ty bảo mật SentinelOne đã phát hiện và công bố về OSAMiner vào năm 2021. -
OSAMiner có còn là mối nguy hiểm bảo mật?
Mặc dù Apple đã cải thiện bảo mật, nhưng OSAMiner và các phần mềm độc hại tương tự vẫn có thể gây ra rủi ro nếu không có biện pháp bảo vệ. -
Làm thế nào để bảo vệ máy Mac khỏi OSAMiner?
Cài đặt phần mềm diệt virus, tránh tải xuống phần mềm bị hack và thường xuyên cập nhật hệ thống. -
Tại sao việc quét phần mềm độc hại thường xuyên lại quan trọng?
Quét thường xuyên giúp phát hiện và loại bỏ các mối đe dọa bảo mật trước khi chúng gây thiệt hại.
Kết Luận
OSAMiner đã chứng minh rằng ngay cả những hệ thống bảo mật mạnh mẽ như macOS cũng có thể bị xâm nhập. Để bảo vệ thiết bị của mình, người dùng cần thận trọng khi tải xuống phần mềm và thường xuyên cập nhật hệ thống. Việc sử dụng phần mềm diệt virus và tránh các nguồn không đáng tin cậy là cách tốt nhất để giảm thiểu rủi ro từ các phần mềm độc hại như OSAMiner.
Hãy luôn cập nhật thông tin về các mối đe dọa bảo mật mới nhất và thực hiện các biện pháp bảo vệ cần thiết để giữ an toàn cho thiết bị của bạn. Để biết thêm thông tin về bảo mật, hãy truy cập Tạp Chí Mobile hoặc xem thêm các bài viết tại chuyên mục Security.
