کشف بدافزار ۵ ساله در نسخه کرک شده آفیس مایکروسافت برای macOS

کشف بدافزار ۵ ساله در نسخه کرک شده آفیس مایکروسافت برای macOS

کاربران macOS برای بیش از ۵ سال هدف یک بدافزار قرار گرفته‌اند که با روشی خاص از دید نرم‌افزارهای امنیتی پنهان مانده است. هدف بدافزار OSAMiner سو استفاده از منابع سخت‌افزاری سیستم‌ها و استخراج مخفیانه رمزارز بوده است.

روش انتشار این بدافزار می‌تواند نگرانی‌های بیشتری برای افرادی داشته باشد که به دنبال برنامه‌های کرک شده هستند. به گزارش موسسه امنیتی SentinelOne بدافزار OSAMiner در بسیاری از نرم‌افزارها و بازی‌های کرک شده از جمله مایکروسافت آفیس برای مک و نیز بازی League of Legends پنهان شده است. با وجود این که سال‌ها از شروع انتشار این بدافزار می‌گذرد اما در ماه‌های اخیر تکامل یافته است. بیشترین حوزه گسترش آن هم به جوامع چینی در آسیا و اقیانوسیه مربوط می‌شود.

البته این بدافزار کاملا هم از دید متخصصان امنیتی پنهان نبوده. بر اساس اعلام SentinelOne در تابستان سال ۱۳۹۷ دو شرکت امنیتی چینی خبر از شناسایی و تحلیل نسخه‌ای قدیمی‌تر از این بدافزار داده‌اند. با این حال این گزارش‌ها تنها به تشریح قابلیت‌های بدافزار OSAMiner مربوط بوده و جزئیات چندانی ارائه نداده. دلیل این که متخصصان از تحلیل کدهای بدافزار عاجز بوده‌اند به روش پنهان شدن آن مرتبط است. در واقع بد‌افزار در فایل‌های اسکریپت‌های اپل (AppleScript) با قابلیت Run-Only پنهان می‌شود.

بدافزار OSAMiner

اسکریپت‌های اپل معمولا، هم شامل کدهای منبع هستند و هم شامل کدهای کامپایل شده. کدهای منبع آن دسته از کدهایی هستند که می‌توان آنها را مشاهده کرد. کدهای کامپایل شده اما امکان اجرا در هر لحظه را دارند. در صورتی که یک اسکریپت به صورت «Run-Only» ذخیره شود امکان مشاهده کدهای منبع وجود ندارد و تنها می‌توان آن را اجرا کرد؛ یعنی دقیقا همان روشی که بدافزار OSAMiner در پیش گرفته بود و با وجود امکان اجرا اما فاقد قابلیت مشاهده آسان کدهای منبع است.

شرکت SentinelOne بالاخره موفق شده روش حمله را به طور کامل کشف کند و آن را در اختیار دیگر شرکت‌های ارائه دهندده نرم‌افزارهای امنیتی بگذارد تا نرم‌افزارهای خود را با قابلیت شناسیایی بدافزار OSAMiner به روز کنند. زمانی که کاربر اقدام به نصب نرم‌افزار کرک شده می‌کند، یک اینستالر مخفی شروع به دانلود و اجرای اسکریپت اپل با قابلیت Run-Only می‌نماید. در ادامه دو اسکریپ مشابه دیگر هم دانلود و نصب می‌شوند.

در حال حاضر بدافزارهای دیگری با روش مشابه کشف نشده‌اند اما به نظر می‌رسد این روش با توجه به عدم امکان شناسایی آسان توسط نرم‌افزارهای امنیتی، به طور گسترده در دسترس هکرها باشد.