Mac malware usa scripts da Apple «apenas execução» para evitar a análise

Uma campanha de mineração de criptomoedas direcionada ao macOS usa malware que se tornou uma variante complexa, dificultando a análise dos pesquisadores.

O malware é rastreado como OSAMiner e existe desde pelo menos 2015. No entanto, analisá-lo é difícil porque as cargas úteis são exportadas como arquivos AppleScript somente para execução, tornando a descompilação deles uma tarefa assustadora.

Uma variante observada recentemente torna a análise ainda mais difícil, pois incorpora um AppleScript somente para execução em outro script e usa URLs em páginas da Web públicas para baixar o minerador Monero real.

Reverter Executar AppleScript

O OSMiner geralmente é distribuído por meio de cópias piratas de jogos e software, League of Legends e Microsoft Office para macOS estão entre os exemplos mais populares.

O malware foi estudado no passado [1, 2], mas o AppleScript apenas para execução prejudicou a análise completa, limitando-a a observar o comportamento da amostra.

Os arquivos AppleScript incluem código-fonte e código compilado, mas habilitar "executar somente" salva apenas a versão compilada para que o código legível por humanos não esteja mais disponível, eliminando assim a possibilidade de engenharia reversa.

Pesquisadores de segurança do Sentinel One descobriram uma nova amostra OSAMiner no final de 2020 que complicou "o já difícil processo de análise".

No entanto, eles conseguiram decodificar algumas amostras coletadas usando um desmontador AppleScript menos conhecido (Jinmo Script Disassembler) e uma ferramenta de descompilação desenvolvida internamente chamada aevt_decompile.

ações de evasão

O Sentinel One descobriu que as campanhas recentes do OSAMiner usam três arquivos AppleScript somente de execução para implementar o processo de mineração na máquina macOS infectada:

  • um script principal que é executado pelo aplicativo Trojan
  • um script incorporado
  • o minerador configura o AppleScript

A função principal do script principal é escrever o AppleScript embutido em ~/Library/k.plist usando um comando "do shell script" e executá-lo. Ele também verifica se a máquina tem espaço livre suficiente e sai se não houver espaço de armazenamento suficiente.

Outras tarefas que ele executa incluem coletar o número de série do dispositivo, reiniciar o trabalho "launchctl" responsável por carregar e descarregar daemons ou agentes e interromper o aplicativo Terminal.

Os pesquisadores dizem que o script principal também configura um agente de persistência e baixa o primeiro estágio do minerador de uma URL configurada em uma página pública.

Alguns exemplos podem não levar a um URL funcional. No entanto, o Sentinel One conseguiu encontrar um ativo ( https://www[.]hemoneyspace[.]com/wodaywo ) e notou que o malware analisou um link no código-fonte da página que apontava para uma imagem PNG.

Este foi o terceiro AppleScript apenas para execução baixado para ~/Library/11.PNG. Seu objetivo é baixar o Monero XMR Mining Stack de código aberto que funciona no Linux, Windows e macOS.

"O script de instalação inclui o endereço do pool, senha e outras informações de configuração, mas não o endereço da carteira", dizem os pesquisadores em um link hoje, acrescentando que também usa a ferramenta "cafeinato" para evitar que a máquina seja infectada. modo dormir.

Evitar detecção

De acordo com o Sentinel One, o segundo script destina-se a evitar a varredura e evitar a detecção. Em apoio a essa conclusão, está removendo o Activity Monitor, que é o equivalente do Windows ao Gerenciador de Tarefas, o que provavelmente impedirá que os usuários verifiquem o uso de recursos do sistema.

Além disso, o script foi projetado para eliminar processos pertencentes a ferramentas populares de limpeza e monitoramento do sistema. Encontre-os verificando uma lista codificada.

O Sentinel One diz que, embora o AppleScript incorpore recursos mais poderosos [ 1 , 2 ], os autores do OSAMiner não estão aproveitando isso no momento. Isso provavelmente ocorre porque a configuração atual permitiu que eles executassem suas campanhas de mineração de criptomoedas com pouca resistência da comunidade de segurança.

No entanto, como o Sentinel One mostrou, a técnica não é infalível e os pesquisadores têm os meios para analisá-la e preparar defesas contra outros malwares que possam optar por usá-la.

  • Gigante da rede Ubiquiti alerta clientes sobre possíveis violações de dados
  • Segurança de hardware do Windows 10 habilitada por padrão no novo Surface PC

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Deixe uma resposta Cancelar resposta

O que é um Editor de Scripts?

O editor de script é usado para editar o código JavaScript, permitindo que você escreva seus próprios módulos MIDI. A criação do módulo é feita em tempo real, para que você possa alterar e testar imediatamente as funções do seu módulo.

O que é o Editor de Scripts no Mac?

O Script Editor permite que você crie scripts , ferramentas e até aplicativos poderosos. Você pode criar scripts para realizar tarefas repetitivas, automatizar fluxos de trabalho complexos e controlar aplicativos ou até mesmo o sistema.

Ir arriba