Die macOS-Malware, die jahrelang unentdeckt blieb, indem nur lauffähige AppleScripts verwendet wurden

OSAMiner war fast fünf Jahre lang eine der hinterhältigsten Schadprogramme, die macOS-Geräte befielen. Es nutzte einen ziemlich raffinierten Trick, um nicht entdeckt zu werden, und nutzte weiterhin die Hardware-Ressourcen von Macs auf der ganzen Welt aus.

Während viele Leute denken, dass macOS-Geräte undurchdringlich seien, hat dieser massive Verstoß die Malware-Forscher fast fünf Jahre lang verblüfft. Aber was ist OSAMiner? Und wie konnte es so lange der Entdeckung entgehen?

Was ist OSAMiner-Malware?

OSAMiner ist ein Kryptowährungs-Miner, der es fast fünf Jahre lang geschafft hat, macOS-Geräte zu infizieren. Aufgrund seiner Fähigkeit, einer vollständigen Analyse fast ein halbes Jahrzehnt lang zu widerstehen, erfreute es sich in Kreisen der Malware-Forschung großer Beliebtheit.

Obwohl dies offiziell im Jahr 2021 in einem Bericht der Sicherheitsfirma SentinelOne ans Licht kam, infizierte OSAMiner seit 2015 macOS-Geräte. Im Jahr 2018 berichteten chinesische Sicherheitsseiten erstmals über einen Trojaner, der auf macOS-Geräte abzielte, um sie zu schürfen

Monero, eine beliebte private Kryptowährung.

Was OSAMiner im Vergleich zu anderen Krypto-Minern so besonders macht, ist, dass es praktisch unentdeckt blieb, da Malware-Forscher nicht in der Lage waren, seinen gesamten Code abzurufen (was eine Analyse verhinderte).

Wie infizierte OSAMiner-Malware Macs?

OSAMiner verbreitete sich hauptsächlich durch Raubkopien von Spielen und Software und zielte vor allem auf Gemeinden im asiatisch-pazifischen Raum und in China ab. Viele Menschen laden Raubkopien und unzensierte Inhalte herunter Unterirdische Torrent-Sites, was die Verbreitung von OSAMiner erleichtert.

Die Verbreitung erfolgt am häufigsten durch beliebte Raubkopien von Software wie Microsoft Office für Mac und Spiele wie League of Legends. Während die Benutzer die Raubkopien installierten, luden die Installationsprogramme ein AppleScript herunter und führten es im Hintergrund aus.

Dies würde ein Nur-Lauf-AppleScript auslösen (mehr dazu weiter unten), das einen weiteren Download initiieren würde, was zu einem weiteren Nur-Lauf-AppleScript-Download führen würde. Dies würde dazu führen, dass ein letztes AppleScript heruntergeladen und auf dem macOS-Gerät installiert wird, was die Nachverfolgung unglaublich erschwert.

Wie es OSAMiner gelang, unentdeckt zu bleiben

Um besser zu verstehen, wie OSAMiner so lange der Erkennung entgehen konnte, ist es wichtig, zunächst über nur lauffähige AppleScripts zu sprechen (auf denen OSAMiner basiert). Einfach ausgedrückt sind AppleScripts leistungsstarke Tools, die eine Automatisierung ermöglichen und eine bessere Kontrolle über Software unter macOS ermöglichen.

Sie nutzen die Sprache AppleScript, die verständlich und leicht lesbar gestaltet ist. Ein Nur-Lauf-AppleScript ist eine kompilierte Version eines AppleScripts, die ausgeführt, aber nicht gelesen oder geändert werden soll.

Wenn ein AppleScript als schreibgeschütztes Skript gespeichert wird, wird es in eine Form kompiliert, die für den Computer verständlich, für Menschen jedoch schwer lesbar ist (Bytecode-Format). Dies verhindert nicht nur, dass andere den Quellcode des Skripts sehen oder ändern, sondern trägt auch zum Schutz aller vertraulichen Informationen bei, die möglicherweise im Skript enthalten sind.

Der Ausdruck „nur ausführen“ hat eine klarere Bedeutung: Diese Skripte sind überhaupt nicht dazu gedacht, bearbeitet zu werden. Und weil Menschen den Code nicht lesen können, wurde OSAMiner von Sicherheitsforschern nicht entdeckt.

Wer hat die OSAMiner-Infektion entdeckt?

Das Sicherheitsforschungsunternehmen, das OSAMiner entdeckt hat, SentilOne, veröffentlicht eine vollständige Angriffskette und eine detaillierte Liste von Indicators of Compromise (IoCs), die darlegen, wie OSAMiner Macs infizieren konnte.

Hierbei ist zu beachten, dass sich OSAMiner weiterentwickelte, da die Angreifer hinter der Malware immer mehr Vertrauen gewannen. Zwei chinesische Sicherheitsfirmen haben bereits im August und September 2018 über OSAMiner berichtet, ihre Berichte kamen jedoch nicht annähernd an die Leistungsfähigkeit von OSAMiner heran.

Sie berichteten zwar über die Entdeckung von „Osascript“, aber die Berichte erregten nicht einmal in Sicherheitsforschungskreisen Aufsehen. Der Hauptgrund dafür war, dass sie nicht den vollständigen Malware-Code abrufen konnten.

Stellt OSAMiner immer noch ein Sicherheitsrisiko dar?

Kryptojacking stellt ein ernstes Problem dar und kann jedes Gerät angreifen. Verschachtelte, nur lauffähige AppleScripts gelten weithin als schwerwiegender Angriffsvektor, und obwohl Apple Schritte unternommen hat, um die Sicherheit seiner Geräte zu verbessern, stellt Malware wie OSAMiner immer noch ein Risiko dar.

Wenngleich Macs verfügen über verschiedene Sicherheitsfunktionen, ist es für Benutzer immer noch wichtig, ein Antivirenprogramm zu installieren. Der beste Weg, Malware-Infektionen vorzubeugen, besteht im Idealfall darin, das Herunterladen von Raubkopien von Software oder Spielen auf Ihr Gerät zu vermeiden. Kaufen Sie immer aus Originalquellen, um das Infektionsrisiko zu verringern.

Führen Sie regelmäßig Scans durch, um Ihren Mac zu schützen

Wenn Sie ungeschützt im Internet surfen, müssen Sie Ihr System regelmäßig auf Malware scannen. Malware-Infektionen wie OSAMiner sind klare Beispiele dafür, wie raffinierte Hacker vorgehen und wie viel Schaden sie im Laufe der Zeit anrichten können.

Es gibt viele Möglichkeiten, Ihren Mac vor Malware zu schützen. Es ist wichtig, dass Sie regelmäßig neue Sicherheitsupdates installieren, sobald Apple diese veröffentlicht.