Користувачі macOS як мінімум п’ять років піддавалися атакам шкідливої програми OSAMiner, яка вміло ухилялася від виявлення, використовуючи технологію AppleScript – набір пов’язаних компонентів, що дозволяють забезпечити взаємодію між ОС і одними додатками.
За даними SentinelOne, цей криптомайнер зазвичай поширюється під виглядом піратських ігор (наприклад, League of Legends) і “кряків” популярного софту – такого як Microsoft Office для macOS.
Атаки OSAMiner в основному проводяться на території Китаю і інших країн Азіатсько-Тихоокеанського регіону. У 2018 році китайським аналітикам вдалося роздобути кілька зразків цього “шкідника”, однак, незважаючи на всі старання, вони так і не змогли дістатися до його початкових кодів.
Як встановлюється шкідливе ПЗ?
Проведене в SentinelOne дослідження дозволило з’ясувати причину таких труднощів. Як виявилося, OSAMiner завантажує свій код частинами, використовуючи складові файли AppleScript зі статусом run-only. Опція run-only дозволяє запускати керуючий сценарій AppleScript як додаток без входу в режим редагування і приховати, таким чином, його вихідний код.macOS
Під час встановлення зараженої OSAMiner піратської програми шкідливий інсталятор завантажує первинний AppleScript-сценарій і запускає його в режимі run-only. Той, в свою чергу, завантажує і запускає другий шкідливий скрипт, потім так само завантажується фінальний AppleScript.
Шкідливі програми для macOS, за словами експертів, рідко використовують AppleScript run-only, і виробники захисних рішень зазвичай не беруть до уваги цей вектор атаки. Проте приклад OSAMiner доводить, що така тактика може ефективно приховувати “шкідника” і від засобів безпеки, і від пильних очей аналітиків.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ
Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ
Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ
Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ
Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США
Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.
Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.
За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.