Run-Only AppleScriptsを利用し、何年も発見されなかったmacOSのマルウェア

Mac / By / June 2, 2023

あなたのような読者が、MUOを支えています。当サイトのリンクを使って購入された場合、アフィリエイト報酬を得ることがあります。続きを読む

OSAMinerは、5年近くにわたってmacOSデバイスに影響を与えた最も卑劣なマルウェアの1つでした。検出されないようにかなり巧妙なトリックを使い、世界中のMacのハードウェアリソースを食い物にし続けました。

多くの人がmacOSデバイスは侵入できないと思っている中、この大規模な侵入はマルウェア研究者を5年近くも困らせました。しかし、OSAMinerとは何なのでしょうか?そして、なぜこれほどまでに長い間、検知を逃れることができたのでしょうか。

OSAMiner マルウェアとは?

OSAMinerは、約5年間にわたりmacOSデバイスを感染させることに成功した暗号通貨マイナーです。約半年間、完全な分析に抵抗する能力を備えていたため、マルウェア研究界では信じられないほどの人気を博しました。

2021年にセキュリティ企業SentinelOneの報告で正式に明るみに出たものの、OSAMinerは2015年からmacOSデバイスに感染していました。2018年には、中国のセキュリティサイトが、人気のあるプライベート暗号通貨であるMoneroを採掘するためにmacOSデバイスを標的としたトロイの木馬を初めて報告しました。

OSAMinerが他の暗号マイナーと比較して特別なのは、マルウェア研究者がそのコード全体を取得することができなかった(解析ができなかった)ため、事実上検出されなかったという点です。

OSAMinerマルウェアはどのようにしてMacに感染したのか?

MacBook with series of codes on the screen

OSAMinerは、主に海賊版のゲームやソフトウェアを通じて広がり、アジア太平洋地域と中国地域のコミュニティを主なターゲットとしました。多くの人がアンダーグラウンドのトレントサイトを通じて海賊版ソフトウェアや無修正コンテンツをダウンロードしているため、OSAMinerの拡散が容易になっているのです。

Microsoft Office for Macのような人気のある海賊版ソフトウェアや、League of Legendsのようなゲームを通じて最もよく広まっています。インストーラーは、人々が海賊版ソフトウェアをインストールする際に、バックグラウンドでAppleScriptをダウンロードし、実行するのです。

これにより、実行専用のAppleScript(詳細は後述)が起動し、さらにダウンロードが開始され、実行専用のAppleScriptのダウンロードがまた発生します。そうすると、最後のAppleScriptがダウンロードされ、macOSデバイスにインストールされることになり、追跡が非常に困難になります。

OSAMinerが発見されずに済んだ理由

OSAMinerがこれほど長い間検出を回避できた理由を理解するためには、まず実行専用のAppleScripts(OSAMinerの基盤となっているもの)について説明することが重要です。簡単に言うと、AppleScriptsは自動化を可能にする強力なツールで、macOS上のソフトウェアをより大きく制御することができます。

これらは、理解しやすく、読みやすいように設計されたAppleScript言語を使用しています。ランオンリーアップルスクリプトとは、実行はされるが、読んだり変更したりすることはできないように作られたアップルスクリプトのコンパイルバージョンである。

AppleScriptを実行専用スクリプトとして保存する場合、コンピュータには理解できるが人間には読みにくい形式(バイトコード形式)にコンパイルされます。これにより、スクリプトのソースコードを他人が見たり変更したりすることを防ぐだけでなく、スクリプトに含まれる可能性のある機密情報を保護することができます。

このスクリプトはそもそも編集されることを想定していません。そして、人間がコードを読むことができないため、OSAMinerはセキュリティ研究者によって検出されることはありませんでした。

OSAMinerの感染を発見したのは誰?

OSAMinerを発見したセキュリティ調査会社SentilOneは、OSAMinerがどのようにMacに感染したかを示す完全な攻撃の連鎖と侵害の指標(IoC)の詳細なリストを公表しました。

ここで重要なのは、マルウェアの背後にいる攻撃者が自信を深め続ける中で、OSAMinerが進化し続けたということです。中国の2つのセキュリティ企業が2018年8月と9月にOSAMinerについて報告しましたが、彼らの報告はOSAMinerができることに近づくことさえできませんでした。

Chinese report showing osascript

f}osascript"が検出されたという報告はあったが、その報告はセキュリティ研究界で波紋を呼ぶことさえなかった。その主な理由は、マルウェアの全コードを取得できなかったからです。

OSAMinerはまだセキュリティリスクを抱えているのか?

クリプトジャッキングは深刻な問題であり、あらゆるデバイスを攻撃する可能性があります。ネストされた実行型AppleScriptsは、深刻な攻撃ベクトルであると広く考えられており、Appleはデバイスのセキュリティを改善するための措置を講じていますが、OSAMinerのようなマルウェアは依然としてリスクを抱えています。

Macには様々なセキュリティ機能が搭載されていますが、それでもアンチウイルスのインストールは欠かせません。マルウェア感染を防ぐには、海賊版のソフトウェアやゲームをデバイスにダウンロードしないことが理想的です。感染リスクを軽減するために、常にオリジナルのソースから購入するようにしましょう。

Macを保護するために定期的にスキャンを実行する

インターネットを無防備に閲覧している場合、定期的にマルウェアをスキャンする必要があります。OSAMinerのようなマルウェア感染は、ハッカーがいかに巧妙になり、時間とともにどれだけの被害をもたらすかを明確に示す例です。

Macをマルウェアから守る方法はたくさんありますが、Appleがリリースする新しいセキュリティアップデートを定期的にインストールすることが重要です。

関連記事

Scroll to Top