Conheça OSAMiner, o malware que infectou Macs por anos sem ser detectado. Aqui está tudo o que você precisa saber.

O OSAMiner foi um dos malwares mais sorrateiros que afetou os dispositivos macOS por quase cinco anos. Ele usou um truque bastante engenhoso para evitar ser detectado e continuou a explorar os recursos de hardware dos Macs em todo o mundo.

Embora muitas pessoas pensem que os dispositivos macOS são impenetráveis, essa violação maciça deixou os pesquisadores de malware perplexos por quase cinco anos. Mas o que é OSAMiner? E como escapou da detecção por tanto tempo?

O que é malware OSAMiner?

OSAMiner é um minerador de criptomoedas que conseguiu infectar dispositivos macOS por quase cinco anos. Tornou-se incrivelmente popular nos círculos de pesquisa de malware por causa de sua capacidade de resistir à análise completa por quase meia década.

Embora tenha surgido oficialmente em 2021 em um relatório de uma empresa de segurança, SentinelOne, o OSAMiner infectava dispositivos macOS desde 2015. Em 2018, os sites de segurança chineses relataram pela primeira vez um trojan que visava dispositivos macOS para minerar

instagram viewer
Monero, uma popular criptomoeda privada.

O que torna o OSAMiner tão especial em comparação com outros mineradores de criptografia é que ele passou praticamente despercebido, pois os pesquisadores de malware não conseguiram recuperar todo o seu código (o que impediu a análise).

Como o OSAMiner Malware infectou os Macs?

O OSAMiner se espalhou principalmente por meio de jogos e softwares piratas e comunidades direcionadas principalmente nas regiões da Ásia-Pacífico e da China. Muitas pessoas baixam software pirata e conteúdo não censurado por meio de sites de torrent underground, facilitando a propagação do OSAMiner.

Ele se espalhou mais comumente por meio de software pirata popular, como o Microsoft Office para Mac, e jogos como League of Legends. Os instaladores baixavam e executavam um AppleScript em segundo plano enquanto as pessoas instalavam o software pirateado.

Isso acionaria um AppleScript somente de execução (mais sobre isso abaixo), que iniciaria outro download, causando outro download de AppleScript somente de execução. Isso faria com que um AppleScript final fosse baixado e instalado no dispositivo macOS, tornando o rastreamento incrivelmente difícil.

Como o OSAMiner conseguiu passar despercebido

Para entender melhor como o OSAMiner pode escapar da detecção por tanto tempo, é importante primeiro falar sobre AppleScripts somente de execução (que é o que o OSAMiner foi desenvolvido). Simplificando, os AppleScripts são ferramentas poderosas que permitem automação e fornecem maior controle sobre o software no macOS.

Eles usam a linguagem AppleScript, projetada para ser compreensível e fácil de ler. Um AppleScript somente de execução é uma versão compilada de um AppleScript que deve ser executado, mas não lido ou modificado.

Quando um AppleScript é salvo como um script somente de execução, ele é compilado em um formato que pode ser entendido pelo computador, mas difícil de ser lido por humanos (formato de bytecode). Isso não apenas impede que outras pessoas vejam ou modifiquem o código-fonte do script, mas também ajuda a proteger qualquer informação confidencial que possa estar contida no script.

A frase "somente execução" fornece um significado mais claro: esses scripts não devem ser editados em primeiro lugar. E como os humanos não conseguem ler o código, o OSAMiner não foi detectado pelos pesquisadores de segurança.

Quem descobriu a infecção OSAMiner?

A empresa de pesquisa de segurança que descobriu o OSAMiner, SentilOne, publicado uma cadeia completa de ataque e uma lista detalhada de indicadores de comprometimento (IoCs) descrevendo como o OSAMiner foi capaz de infectar Macs.

Uma coisa importante a observar aqui é que o OSAMiner continuou a evoluir à medida que os invasores por trás do malware continuaram a ganhar mais confiança. Duas empresas de segurança chinesas relataram o OSAMiner em agosto e setembro de 2018, embora seus relatórios nem chegassem perto do que o OSAMiner era capaz.

Eles relataram a detecção de "osascript", mas os relatórios nem mesmo causaram uma onda nos círculos de pesquisa de segurança. A principal razão para isso foi que eles não conseguiram recuperar o código completo do malware.

O OSAMiner ainda representa um risco de segurança?

Criptojacking é uma preocupação séria e pode atacar qualquer dispositivo. Os AppleScripts somente executados aninhados são amplamente considerados um vetor de ataque sério e, embora a Apple tenha tomado medidas para melhorar a segurança em seus dispositivos, malwares como o OSAMiner ainda representam um risco.

Embora Os Macs vêm com vários recursos de segurança, ainda é essencial que os usuários instalem um antivírus. Idealmente, a melhor maneira de prevenir infecções por malware é evitar o download de software ou jogos piratas em seu dispositivo. Sempre compre de fontes originais para mitigar o risco de infecção.

Execute verificações regularmente para proteger seu Mac

Se você navegar na Internet sem nenhuma proteção, deverá verificar seu sistema em busca de malware regularmente. As infecções por malware como o OSAMiner são exemplos claros de como os hackers sofisticados estão ficando e quanto dano eles podem causar ao longo do tempo.

Há muitas maneiras de proteger seu Mac contra malware e é importante que você instale regularmente novas atualizações de segurança à medida que a Apple as lança.