Вредоносное ПО OSAMiner для macOS с 2015 года скрывалось с помощью сценариев AppleScripts, чтобы избежать обнаружения


Коварная вредоносная программа для MacOS под названием OSAMiner с 2015 года незаметно для всех заражала Mac, скрываясь с помощью сценариев AppleScripts и добывая криптовалюту.

По данным охранной фирмы SentinelOne, OSAMiner распространялся с использованием пиратских версий игры для Mac, таких как League of Legends (которую обычно можно загрузить бесплатно) и Microsoft Office. Как только пользователи загрузят и установят зараженное программное обеспечение, OSAMiner будет использовать сценарии AppleScripts только для выполнения для встраивания в систему.

OSAMiner тайно майнил криптовалюту на зараженных Mac

OSAMiner действует с 2015 года, тайно добывая криптовалюту на зараженных компьютерах Mac. Вредоносная программа также получила развитие в последнее время и в первую очередь нацелена на пользователей в Китае и Азиатско-Тихоокеанском регионе.

Когда пользователи загружали затронутые приложения, загружался AppleScript, который запускал второй AppleScript, который, в свою очередь, загружал третий AppleScript. Эти сценарии AppleScripts, предназначенные только для выполнения, позволили OSAMiner избежать обнаружения на протяжении многих лет.

SentinelOne отметил, что сценарии AppleScripts только для запуска редко используются для вредоносных программ для macOS, но OSAMiner показал, что они невероятно эффективны для злонамеренных действий и могут использоваться, чтобы оставаться скрытыми от обнаружения:

AppleScripts только для запуска на удивление редко встречаются в мире вредоносных программ для macOS, но как долговечность, так и отсутствие внимания к macOS. Кампания OSAMiner, которая, вероятно, длится не менее 5 лет, показывает, насколько мощными могут быть скрипты AppleScripts только для запуска. быть для уклонения и антианализа. В этом случае мы не видели, чтобы субъект использовал какие-либо из более мощных функций AppleScript, которые мы обсуждали в другом месте, но это вектор атаки, который остается широко открытым и с которым многие защитные инструменты не приспособлены для обработки. В случае, если другие злоумышленники начнут осознавать полезность использования скриптов AppleScripts только для запуска, мы надеемся, что это исследование и инструменты, описанные выше, окажутся полезными для аналитиков.

Теперь, когда OSAMiner обнаружен и его сложная архитектура подверглась обратному проектированию, он поможет другим исследователям найти любую другую скрытую вредоносную программу AppleScript, предназначенную только для запуска. Чтобы обезопасить себя от таких вредоносных программ, убедитесь, что вы загружаете приложения только из надежных источников.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *