Conozca OSAMiner, el malware que infectó Mac durante años sin ser detectado. Aquí está todo lo que necesitas saber.
OSAMiner fue uno de los programas maliciosos más furtivos que afectó a los dispositivos macOS durante casi cinco años. Usó un truco bastante ingenioso para evitar ser detectado y continuó aprovechando los recursos de hardware de las Mac en todo el mundo.
Si bien muchas personas piensan que los dispositivos macOS son impenetrables, esta brecha masiva dejó perplejos a los investigadores de malware durante casi cinco años. Pero, ¿qué es OSAMiner? ¿Y cómo evadió la detección durante tanto tiempo?
¿Qué es el software malicioso OSAMiner?
OSAMiner es un minero de criptomonedas que logró infectar dispositivos macOS durante casi cinco años. Se hizo increíblemente popular en los círculos de investigación de malware debido a su capacidad para resistir un análisis completo durante casi media década.
Si bien salió a la luz oficialmente en 2021 en un informe de una empresa de seguridad, SentinelOne, OSAMiner había estado infectando dispositivos macOS desde 2015. En 2018, los sitios de seguridad chinos informaron por primera vez de un troyano dirigido a dispositivos macOS para minar
Monero, una criptomoneda privada popular.Lo que hace que OSAMiner sea tan especial en comparación con otros criptomineros es que pasó prácticamente desapercibido, ya que los investigadores de malware no pudieron recuperar su código completo (lo que impidió el análisis).
¿Cómo infectó OSAMiner Malware a las Mac?
OSAMiner se propagó principalmente a través de juegos y software pirateados y se dirigió principalmente a comunidades en las regiones de Asia-Pacífico y China. Muchas personas descargan software pirateado y contenido sin censura a través de sitios subterráneos de torrents, lo que facilita la propagación de OSAMiner.
Se propaga más comúnmente a través de software pirateado popular, como Microsoft Office para Mac, y juegos como League of Legends. Los instaladores descargarían y ejecutarían un AppleScript en segundo plano mientras la gente instalaba el software pirateado.
Esto activaría un AppleScript de solo ejecución (más sobre eso a continuación), que iniciaría otra descarga, lo que provocaría otra descarga de AppleScript de solo ejecución. Esto haría que se descargara e instalara un AppleScript final en el dispositivo macOS, lo que haría que el seguimiento fuera increíblemente difícil.
Cómo OSAMiner logró pasar desapercibido
Para comprender mejor cómo OSAMiner podría evadir la detección durante tanto tiempo, es importante hablar primero sobre AppleScripts de solo ejecución (que es en lo que se basa OSAMiner). En pocas palabras, AppleScripts son herramientas poderosas que permiten la automatización y brindan un mayor control sobre el software en macOS.
Utilizan el lenguaje AppleScript, que está diseñado para ser comprensible y fácil de leer. Un AppleScript de solo ejecución es una versión compilada de un AppleScript que debe ejecutarse pero no leerse ni modificarse.
Cuando un AppleScript se guarda como un script de solo ejecución, se compila en un formato que la computadora puede entender pero que es difícil de leer para los humanos (formato de código de bytes). Esto no solo evita que otros vean o modifiquen el código fuente de la secuencia de comandos, sino que también ayuda a proteger cualquier información confidencial que pueda estar contenida en la secuencia de comandos.
La frase "solo ejecución" proporciona un significado más claro: estos scripts no están destinados a ser editados en primer lugar. Y debido a que los humanos no pueden leer el código, los investigadores de seguridad no detectaron OSAMiner.
¿Quién descubrió la infección OSAMiner?
La firma de investigación de seguridad que descubrió OSAMiner, SentilOne, publicado una cadena de ataque completa y una lista detallada de indicadores de compromiso (IoC) que describen cómo OSAMiner pudo infectar Mac.
Una cosa importante a tener en cuenta aquí es que OSAMiner continuó evolucionando a medida que los atacantes detrás del malware continuaron ganando más confianza. Dos empresas de seguridad chinas informaron sobre OSAMiner en agosto y septiembre de 2018, aunque sus informes ni siquiera se acercaron a lo que OSAMiner era capaz de hacer.
Informaron sobre la detección de "osascript", pero los informes ni siquiera hicieron una onda en los círculos de investigación de seguridad. La razón principal de esto fue que no pudieron recuperar el código de malware completo.
¿OSAMiner todavía representa un riesgo de seguridad?
criptojacking es una preocupación seria y puede atacar cualquier dispositivo. Los AppleScripts anidados de solo ejecución se consideran un vector de ataque grave y, aunque Apple ha tomado medidas para mejorar la seguridad en sus dispositivos, el malware como OSAMiner aún representa un riesgo.
A pesar de Las Mac vienen con varias funciones de seguridad, sigue siendo imprescindible que los usuarios instalen un antivirus. Idealmente, la mejor manera de prevenir infecciones de malware es evitar descargar software o juegos pirateados en su dispositivo. Compre siempre de fuentes originales para mitigar el riesgo de infección.
Ejecute escaneos regularmente para proteger su Mac
Si navega por Internet sin ninguna protección, debe escanear su sistema en busca de malware con regularidad. Las infecciones de malware como OSAMiner son claros ejemplos de cuán sofisticados se están volviendo los hackers y cuánto daño pueden causar con el tiempo.
Hay muchas maneras de proteger su Mac del malware, y es importante que instale regularmente nuevas actualizaciones de seguridad a medida que Apple las publique.