OSAMiner est l’un des logiciels malveillants les plus sournois qui ait affecté les appareils macOS pendant près de cinq ans. Il a utilisé une astuce assez ingénieuse pour éviter d’être détecté et a continué à exploiter les ressources matérielles des Mac dans le monde entier.
Alors que de nombreuses personnes pensent que les appareils macOS sont impénétrables, cette violation massive a déconcerté les chercheurs de logiciels malveillants pendant près de cinq ans. Mais qu’est-ce qu’OSAMiner ? Et comment a-t-il pu échapper à la détection pendant si longtemps ?
Qu’est-ce que le logiciel malveillant OSAMiner ?
OSAMiner est un mineur de crypto-monnaie qui a réussi à infecter les appareils macOS pendant près de cinq ans. Il est devenu incroyablement populaire dans les cercles de recherche sur les logiciels malveillants en raison de sa capacité à résister à une analyse complète pendant près d’une demi-décennie.
Bien qu’il ait été officiellement révélé en 2021 dans un rapport de la société de sécurité SentinelOne, OSAMiner infectait des appareils macOS depuis 2015. En 2018, des sites de sécurité chinois ont signalé pour la première fois un cheval de Troie qui ciblait les appareils macOS pour miner du Monero, une crypto-monnaie privée populaire.
Ce qui rend OSAMiner si spécial par rapport aux autres mineurs de crypto-monnaie, c’est qu’il n’a pratiquement pas été détecté, car les chercheurs de logiciels malveillants n’ont pas pu récupérer l’intégralité de son code (ce qui a empêché toute analyse).
Comment le logiciel malveillant OSAMiner a-t-il infecté les Mac ?
OSAMiner s’est principalement propagé par le biais de jeux et de logiciels piratés et a surtout ciblé les communautés de la région Asie-Pacifique et de la Chine. De nombreuses personnes téléchargent des logiciels piratés et des contenus non censurés sur des sites de torrents clandestins, ce qui facilite la propagation d’OSAMiner.
Il se propage le plus souvent par le biais de logiciels piratés populaires, tels que Microsoft Office pour Mac, et de jeux comme League of Legends. Les installateurs téléchargeaient et exécutaient un AppleScript en arrière-plan pendant que les utilisateurs installaient le logiciel piraté.
Cela déclenchait l’exécution d’un AppleScript (plus d’informations à ce sujet ci-dessous), qui lançait un autre téléchargement, provoquant un autre téléchargement d’AppleScript à exécution unique. Un dernier AppleScript est alors téléchargé et installé sur l’appareil macOS, ce qui rend le suivi incroyablement difficile.
Comment OSAMiner a réussi à passer inaperçu
Pour mieux comprendre comment OSAMiner a pu échapper à la détection pendant si longtemps, il est important de parler tout d’abord des AppleScripts à exécution seule (sur lesquels OSAMiner est construit). En termes simples, les AppleScripts sont des outils puissants qui permettent d’automatiser et de mieux contrôler les logiciels sous macOS.
Ils utilisent le langage AppleScript, qui est conçu pour être compréhensible et facile à lire. Un AppleScript à exécution seule est une version compilée d’un AppleScript destinée à être exécutée, mais pas lue ni modifiée.
Lorsqu’un AppleScript est enregistré en tant que script d’exécution seule, il est compilé sous une forme compréhensible par l’ordinateur mais difficilement lisible par l’homme (format bytecode). Cela empêche non seulement les autres de voir ou de modifier le code source du script, mais permet également de protéger les informations sensibles qui pourraient être contenues dans le script.
L’expression « run-only » est plus claire : ces scripts ne sont pas censés être modifiés en premier lieu. Et comme les humains ne peuvent pas lire le code, OSAMiner n’a pas été détecté par les chercheurs en sécurité.
Qui a découvert l’infection OSAMiner ?
La société de recherche en sécurité qui a découvert OSAMiner, SentilOne, a publié une chaîne d’attaque complète et une liste détaillée d’indicateurs de compromission (IoC) décrivant comment OSAMiner a pu infecter des Mac.
Il est important de noter qu’OSAMiner a continué d’évoluer au fur et à mesure que les attaquants à l’origine du logiciel malveillant gagnaient en confiance. Deux entreprises de sécurité chinoises ont publié un rapport sur OSAMiner en août et septembre 2018, mais leurs rapports n’étaient pas du tout à la hauteur des capacités d’OSAMiner.
Ce rapport fait état de la détection de « osascript », mais il n’a même pas fait de vagues dans les milieux de la recherche en matière de sécurité. La principale raison en est qu’ils n’ont pas pu récupérer le code complet du logiciel malveillant.
OSAMiner présente-t-il toujours un risque pour la sécurité ?
Le cryptojacking est une préoccupation sérieuse et peut attaquer n’importe quel appareil. Les AppleScripts imbriqués sont largement considérés comme un vecteur d’attaque sérieux, et bien qu’Apple ait pris des mesures pour améliorer la sécurité de ses appareils, les logiciels malveillants tels qu’OSAMiner représentent toujours un risque.
Même si les Mac sont dotés de diverses fonctions de sécurité, il est essentiel pour les utilisateurs d’installer un antivirus. Idéalement, la meilleure façon de prévenir les infections par des logiciels malveillants est d’éviter de télécharger des logiciels ou des jeux piratés sur votre appareil. Achetez toujours des produits originaux pour réduire le risque d’infection.
Exécutez régulièrement des analyses pour protéger votre Mac
Si vous naviguez sur Internet sans aucune protection, vous devez analyser régulièrement votre système pour détecter les logiciels malveillants. Les infections de logiciels malveillants comme OSAMiner sont des exemples clairs de la sophistication des pirates et des dommages qu’ils peuvent causer au fil du temps.
Il existe de nombreuses façons de protéger votre Mac contre les logiciels malveillants, et il est important que vous installiez régulièrement les nouvelles mises à jour de sécurité dès qu’Apple les publie.