کمیته رکن چهارم – کاربران macOS برای بیش از ۵ سال هدف یک بدافزار قرار گرفتهاند که با روشی خاص از دید نرمافزارهای امنیتی پنهان مانده است. هدف بدافزار OSAMiner سو استفاده از منابع سختافزاری سیستمها و استخراج مخفیانه رمزارز بوده است.
روش انتشار این بدافزار میتواند نگرانیهای بیشتری برای افرادی داشته باشد که به دنبال برنامههای کرک شده هستند. به گزارش موسسه امنیتی SentinelOne بدافزار OSAMiner در بسیاری از نرمافزارها و بازیهای کرک شده از جمله مایکروسافت آفیس برای مک و نیز بازی League of Legends پنهان شده است. با وجود این که سالها از شروع انتشار این بدافزار میگذرد اما در ماههای اخیر تکامل یافته است. بیشترین حوزه گسترش آن هم به جوامع چینی در آسیا و اقیانوسیه مربوط میشود.
البته این بدافزار کاملا هم از دید متخصصان امنیتی پنهان نبوده. بر اساس اعلام SentinelOne در تابستان سال ۱۳۹۷ دو شرکت امنیتی چینی خبر از شناسایی و تحلیل نسخهای قدیمیتر از این بدافزار دادهاند. با این حال این گزارشها تنها به تشریح قابلیتهای بدافزار OSAMiner مربوط بوده و جزئیات چندانی ارائه نداده. دلیل این که متخصصان از تحلیل کدهای بدافزار عاجز بودهاند به روش پنهان شدن آن مرتبط است. در واقع بدافزار در فایلهای اسکریپتهای اپل (AppleScript) با قابلیت Run-Only پنهان میشود.
بدافزار OSAMiner
اسکریپتهای اپل معمولا، هم شامل کدهای منبع هستند و هم شامل کدهای کامپایل شده. کدهای منبع آن دسته از کدهایی هستند که میتوان آنها را مشاهده کرد. کدهای کامپایل شده اما امکان اجرا در هر لحظه را دارند. در صورتی که یک اسکریپت به صورت «Run-Only» ذخیره شود امکان مشاهده کدهای منبع وجود ندارد و تنها میتوان آن را اجرا کرد؛ یعنی دقیقا همان روشی که بدافزار OSAMiner در پیش گرفته بود و با وجود امکان اجرا اما فاقد قابلیت مشاهده آسان کدهای منبع است.
شرکت SentinelOne بالاخره موفق شده روش حمله را به طور کامل کشف کند و آن را در اختیار دیگر شرکتهای ارائه دهندده نرمافزارهای امنیتی بگذارد تا نرمافزارهای خود را با قابلیت شناسیایی بدافزار OSAMiner به روز کنند. زمانی که کاربر اقدام به نصب نرمافزار کرک شده میکند، یک اینستالر مخفی شروع به دانلود و اجرای اسکریپت اپل با قابلیت Run-Only مینماید. در ادامه دو اسکریپ مشابه دیگر هم دانلود و نصب میشوند.
در حال حاضر بدافزارهای دیگری با روش مشابه کشف نشدهاند اما به نظر میرسد این روش با توجه به عدم امکان شناسایی آسان توسط نرمافزارهای امنیتی، به طور گسترده در دسترس هکرها باشد.
منبع : دیجیاتو
