top of page

Mac-malware opdaget efter flere års ubemærket brug af “Run” Only” AppleScripts

En ny rapport afslører, at der er blevet opdaget ondsindet software til Mac-operativsystemet, som har formået at undgå opdagelse i flere år ved at udnytte “”Run Only” eller på dansk “Kør kun" AppleScripts. Denne sofistikerede form for malware har formået at undgå traditionelle sikkerhedsforanstaltninger og har potentielt påvirket et stort antal Mac-brugere.


OSAMiner, Malware, Applescripts, Software, Mac, Apple, IT-sikkerhed


AppleScripts er små automatiseringsprogrammer, der bruges til at udføre specifikke opgaver på Mac-computere. De kan let oprettes og udføres ved hjælp af macOS' indbyggede Skripteditor. Desværre har nogle ondsindede aktører udnyttet dette værktøj til at udvikle skadelige AppleScripts, der er blevet distribueret til intetanende brugere.


Ifølge rapporten blev denne specifikke malware først opdaget af sikkerhedsforskere, der analyserede en mistænkelig AppleScript-fil. Malwaren udnyttede avancerede teknikker til at undgå opdagelse, herunder kryptering af skadelig kode og udnyttelse af svagheder i macOS' sikkerhedsmekanismer.


Det bemærkelsesværdige ved denne malware er dens evne til at undgå traditionelle antivirusprogrammer og malware-scannere. Ved at udnytte den tillid, brugerne har til AppleScripts, har den formået at forblive ubemærket og udføre ondsindede handlinger på baggrund af den autorisation, brugeren giver ved kørsel af scriptet.


Denne opdagelse kaster lys over behovet for øget sikkerhed og opmærksomhed omkring AppleScripts og andre automatiseringsværktøjer. Brugere af Mac-computere bør være forsigtige, når de kører AppleScripts fra ukendte kilder eller uden at have verificeret deres oprindelse.


Rapporten understreger også vigtigheden af regelmæssig opdatering af macOS og installering af sikkerhedsopdateringer. Selvom det kan være fristende at undlade at opdatere systemet af frygt for kompatibilitetsproblemer, er det vigtigt at holde sig opdateret med de nyeste sikkerhedsforanstaltninger.


Forhåbentlig vil denne opdagelse føre til yderligere forskning og udvikling af effektive metoder til at opdage og bekæmpe denne form for malware. Det er afgørende, at Mac-brugere kan føle sig trygge ved, at deres systemer er beskyttet mod potentielle trusler, der udnytter deres tillid til automatiseringsværktøjer som AppleScripts.


Mød OSAMiner malware


OSAMiner var en af de mest snedige former for malware, der påvirkede macOS-enheder i næsten fem år. Den brugte en temmelig genial trick til at undgå opdagelse og fortsatte med at udnytte Mac'ernes hardwareressourcer over hele kloden.


Mens mange mennesker tror, at macOS-enheder er uigennemtrængelige, stod malwareforskere over for denne massive krænkelse i næsten fem år. Men hvad er OSAMiner? Og hvordan undgik den at blive opdaget i så lang tid?


Hvad er OSAMiner Malware?


OSAMiner er en kryptocurrency miner, der formåede at inficere macOS-enheder i næsten fem år. Den blev utroligt populær inden for malwareforskning på grund af dens evne til at modstå fuld analyse i næsten et halvt årti.


Selvom den officielt kom frem i lyset i 2021 i en rapport fra et sikkerhedsfirma ved navn SentinelOne, har OSAMiner inficeret macOS-enheder siden 2015. I 2018 rapporterede kinesiske sikkerhedssider først om en trojansk hest, der målrettede macOS-enheder for at mine Monero, en populær privat kryptocurrency.


Det, der gør OSAMiner så speciel sammenlignet med andre kryptominere, er, at den næsten blev uopdaget, da malwareforskere ikke kunne hente hele dens kode (hvilket forhindrede analyse).

Hvordan inficerede OSAMiner Malware Macs? OSAMiner spredte sig primært gennem piratkopierede spil og software og målrettede primært samfundene i Asien-Stillehavsregionen og Kina. Mange mennesker downloader piratkopieret software og usensureret indhold gennem undergrundstorrentsider, hvilket gør det nemmere for OSAMiner at sprede sig.


Den spredte sig mest gennem populær piratkopieret software som Microsoft Office til Mac og spil som League of Legends. Installationsprogrammerne ville downloade og køre en AppleScript i baggrunden, når folk installerede den piratkopierede software.


Dette ville udløse en "kør kun" AppleScript (mere om det senere), som ville starte en anden download og forårsage endnu en "kør kun" AppleScript-download. Dette ville forårsage, at en endelig AppleScript blev downloadet og installeret på macOS-enheden, hvilket gjorde det ekstremt svært at spore.


Hvordan holdte OSAMiner sig skjult?


For at forstå, hvordan OSAMiner kunne undgå at blive opdaget i så lang tid, er det vigtigt at tale om "kør kun" AppleScripts (som OSAMiner er bygget på). AppleScripts er kraftfulde værktøjer, der tillader automatisering og giver større kontrol over software på macOS.


De bruger AppleScript-sproget, der er designet til at være forståeligt og letlæseligt. En "kør kun" AppleScript er en kompileret version af et AppleScript, der er beregnet til at blive eksekveret, men ikke læst eller ændret.


Når et AppleScript gemmes som en "kør kun" script, bliver det kompileret til en form, som computeren kan forstå, men som er svær for mennesker at læse (bytecode-format). Dette forhindrer ikke kun andre i at se eller ændre scriptets kildekode, men det beskytter også eventuel følsom information, der kan være indeholdt i scriptet.


Udtrykket "kør kun" giver en klarere betydning: disse scripts er ikke beregnet til at blive redigeret i første omgang. Og fordi mennesker ikke kan læse koden, blev OSAMiner ikke opdaget af sikkerhedsforskere.


Hvem opdagede OSAMiner?


Sikkerhedsfirmaet SentilOne, der opdagede OSAMiner, offentliggjorde en fuld angrebskæde og en detaljeret liste over indikatorer på kompromittering (IoCs), der beskrev, hvordan OSAMiner kunne inficere Macs.


Det er vigtigt at bemærke, at OSAMiner fortsatte med at udvikle sig, da angriberne bag malwaren fortsatte med at opnå mere tillid. To kinesiske sikkerhedsfirmaer rapporterede faktisk om OSAMiner tilbage i august og september 2018, men deres rapporter nærmede sig slet ikke, hvad OSAMiner var i stand til.

Comments


bottom of page