OSAMiner: Mối Nguy Hiểm Kéo Dài 5 Năm Đối Với Thiết Bị macOS

OSAMiner Là Gì?

OSAMiner là một phần mềm khai thác tiền điện tử đã xâm nhập vào các thiết bị macOS trong suốt gần năm năm. Nó trở nên nổi tiếng trong cộng đồng nghiên cứu phần mềm độc hại nhờ khả năng chống lại sự phân tích hoàn toàn trong gần nửa thập kỷ.

Mặc dù chính thức được công bố vào năm 2021 trong một báo cáo của công ty bảo mật SentinelOne, OSAMiner đã bắt đầu xâm nhập vào các thiết bị macOS từ năm 2015. Vào năm 2018, các trang web bảo mật Trung Quốc lần đầu tiên báo cáo về một loại trojan nhắm vào các thiết bị macOS để khai thác Monero, một loại tiền điện tử riêng tư phổ biến.

Điều làm cho OSAMiner trở nên đặc biệt so với các phần mềm khai thác tiền điện tử khác là nó gần như không bị phát hiện, vì các nhà nghiên cứu không thể lấy được toàn bộ mã nguồn của nó (điều này ngăn cản việc phân tích).

OSAMiner Lây Nhiễm Vào Máy Mac Như Thế Nào?

OSAMiner chủ yếu lan truyền qua các trò chơi và phần mềm bị hack, chủ yếu nhắm vào cộng đồng ở khu vực châu Á-Thái Bình Dương và Trung Quốc. Nhiều người tải xuống phần mềm bị hack và nội dung không bị kiểm duyệt qua các trang web torrent ngầm, giúp OSAMiner dễ dàng lan truyền hơn.

Nó lan truyền phổ biến nhất qua các phần mềm bị hack phổ biến như Microsoft Office cho Mac và các trò chơi như League of Legends. Các bộ cài đặt sẽ tải xuống và thực thi một AppleScript ở chế độ nền khi người dùng cài đặt phần mềm bị hack.

Điều này sẽ kích hoạt một AppleScript chỉ chạy (sẽ được giải thích thêm bên dưới), sau đó sẽ khởi tạo một tải xuống khác, gây ra một tải xuống AppleScript chỉ chạy khác. Điều này sẽ dẫn đến việc tải xuống và cài đặt một AppleScript cuối cùng trên thiết bị macOS, khiến việc theo dõi trở nên cực kỳ khó khăn.

Máy tính MacBook với chuỗi mã trên màn hình

OSAMiner Tránh Được Sự Phát Hiện Như Thế Nào?

Để hiểu rõ hơn cách OSAMiner có thể tránh được sự phát hiện trong thời gian dài như vậy, điều quan trọng là phải hiểu về AppleScript chỉ chạy (mà OSAMiner được xây dựng trên đó). Đơn giản là, AppleScript là công cụ mạnh mẽ cho phép tự động hóa và cung cấp quyền kiểm soát lớn hơn đối với phần mềm trên macOS.

Chúng sử dụng ngôn ngữ AppleScript, được thiết kế để dễ hiểu và dễ đọc. Một AppleScript chỉ chạy là phiên bản được biên dịch của một AppleScript, được thiết kế để thực thi nhưng không thể đọc hoặc sửa đổi.

Khi một AppleScript được lưu dưới dạng script chỉ chạy, nó được biên dịch thành một dạng mà máy tính có thể hiểu nhưng rất khó đọc đối với con người (định dạng bytecode). Điều này không chỉ ngăn cản người khác xem hoặc sửa đổi mã nguồn của script mà còn giúp bảo vệ bất kỳ thông tin nhạy cảm nào có thể chứa trong script.

Cụm từ “chỉ chạy” cung cấp ý nghĩa rõ ràng hơn: các script này không được thiết kế để chỉnh sửa ngay từ đầu. Và vì con người không thể đọc mã, OSAMiner đã không bị phát hiện bởi các nhà nghiên cứu bảo mật.

Ai Đã Phát Hiện Ra Sự Lây Nhiễm OSAMiner?

Công ty nghiên cứu bảo mật đã phát hiện ra OSAMiner, SentinelOne, đã công bố một chuỗi tấn công đầy đủ và một danh sách chi tiết các dấu hiệu của sự xâm nhập (IoCs) mô tả cách OSAMiner có thể lây nhiễm vào các máy Mac.

Điều quan trọng cần lưu ý ở đây là OSAMiner tiếp tục phát triển khi những kẻ tấn công đứng sau phần mềm độc hại này ngày càng tự tin hơn. Hai công ty bảo mật Trung Quốc đã báo cáo về OSAMiner vào tháng 8 và tháng 9 năm 2018, mặc dù các báo cáo của họ không hề đến gần với những gì OSAMiner có thể làm.

Báo cáo của Trung Quốc hiển thị osascript

Họ đã báo cáo về việc phát hiện “osascript”, nhưng các báo cáo này thậm chí không gây được sự chú ý trong cộng đồng nghiên cứu bảo mật. Lý do chính cho điều này là họ không thể lấy được toàn bộ mã phần mềm độc hại.

OSAMiner Có Còn Là Mối Nguy Hiểm Bảo Mật?

Khai thác tiền điện tử là một mối quan ngại nghiêm trọng và có thể tấn công bất kỳ thiết bị nào. Các AppleScript chỉ chạy lồng nhau được coi là một vectơ tấn công nghiêm trọng, và mặc dù Apple đã thực hiện các bước để cải thiện bảo mật trên các thiết bị của mình, phần mềm độc hại như OSAMiner vẫn còn là một mối nguy.

Dù các máy Mac đi kèm với nhiều tính năng bảo mật, việc cài đặt phần mềm diệt virus vẫn là điều cần thiết cho người dùng. Lý tưởng nhất, cách tốt nhất để ngăn chặn lây nhiễm phần mềm độc hại là tránh tải xuống phần mềm hoặc trò chơi bị hack trên thiết bị của bạn. Luôn mua từ nguồn gốc để giảm thiểu rủi ro bị lây nhiễm.

Thường Xuyên Chạy Quét Để Bảo Vệ Máy Mac Của Bạn

Nếu bạn duyệt internet mà không có bất kỳ biện pháp bảo vệ nào, bạn cần quét hệ thống của mình để tìm phần mềm độc hại thường xuyên. Các lây nhiễm phần mềm độc hại như OSAMiner là ví dụ rõ ràng về sự tinh vi của các hacker và thiệt hại mà họ có thể gây ra theo thời gian.

Có nhiều cách để bảo vệ máy Mac của bạn khỏi phần mềm độc hại, và điều quan trọng là bạn phải thường xuyên cài đặt các bản cập nhật bảo mật mới khi Apple phát hành chúng.