O malware é rastreado como OSAMiner e está à solta desde pelo menos 2015. No entanto, é difícil analisá-lo porque as cargas úteis são exportadas como arquivos AppleScript somente de execução, o que torna sua descompilação em código-fonte uma tarefa difícil.
Uma variante observada recentemente torna a análise ainda mais difícil, pois incorpora um AppleScript somente de execução em outros scripts e usa URLs em páginas públicas da web para baixar o minerador Monero real.
O OSAMiner normalmente se espalha por meio de cópias piratas de jogos e software, e League of Legends e Microsoft Office para macOS estão entre os exemplos mais populares.
O malware foi pesquisado no passado [ 1 , 2 ], mas o arquivo AppleScript de execução apenas dificultou a análise completa, limitando-se a observar o comportamento da amostra.
Os arquivos AppleScript incluem o código-fonte e o código compilado, mas a ativação de “somente execução” salva apenas a versão compilada, de forma que o código legível por humanos não está mais disponível, removendo assim a possibilidade de engenharia reversa.
Os pesquisadores de segurança do SentinelOne descobriram no final de 2020 uma nova amostra do OSAMiner que complicou “o já difícil processo de análise”.
No entanto, eles conseguiram fazer a engenharia reversa de algumas amostras coletadas usando um desmontador AppleScript menos conhecido ( applecript-disassembler da Jinmo ) e uma ferramenta descompiladora desenvolvida internamente chamada aevt_decompile.
As campanhas recentes do OSAMiner usam três arquivos AppleScript apenas de execução para implantar o processo de mineração na máquina macOS infectada, o SentinelOne descobriu:
A principal função do script pai é escrever o AppleScript embutido em ~ / Library / k.plist usando um comando “do shell script” e executá-lo. Ele também verifica se a máquina tem espaço livre suficiente e sai se não houver armazenamento suficiente.
Outras tarefas que ele executa incluem coletar o número de série do dispositivo, reiniciar o trabalho ‘launchctl’ responsável por carregar e descarregar daemons ou agentes e encerrar o aplicativo Terminal.
Os pesquisadores dizem que o script principal também configura um agente de persistência e baixa o primeiro estágio do minerador de um URL definido em uma página pública.
Algumas amostras podem não levar a um URL ativo. No entanto, o SentinelOne conseguiu encontrar um ativo ( https: // www [.] Emoneyspace [.] Com / wodaywo ) e percebeu que o malware analisou um link no código-fonte da página que apontava para uma imagem PNG.
Este foi o terceiro AppleScript de execução somente, baixado em ~ / Library / 11.PNG. Seu objetivo é fazer o download do minerador XMR-Stak Monero de código aberto que funciona em Linux, Windows e macOS.
“O script de configuração inclui o endereço do pool, senha e outras informações de configuração, mas não o endereço da carteira”, dizem os pesquisadores em um relatório hoje, acrescentando que também usa a ferramenta “cafeína” para evitar que a máquina entre no modo de hibernação.
De acordo com o SentinelOne, o segundo script tem como objetivo evitar a análise e evitar a detecção. Apoiar essa conclusão é eliminar o Activity Monitor, que é o equivalente ao Task Manager do Windows, provavelmente para evitar que os usuários verifiquem o uso de recursos do sistema.
Além disso, o script foi projetado para eliminar processos pertencentes a ferramentas populares de monitoramento e limpeza do sistema. Ele os encontra verificando uma lista codificada.
SentinelOne diz que embora o AppleScript incorpore recursos mais poderosos [ 1 , 2 ], os autores do OSAMiner não estão tirando proveito. Isso provavelmente ocorre porque a configuração atual permitiu que eles executassem suas campanhas de mineração de criptomoedas com pouca resistência da comunidade de segurança.
No entanto, como o SentinelOne provou, a técnica não é infalível e os pesquisadores têm os meios para analisá-la e preparar defesas contra outro malware que possa optar por usá-la.
Fonte: https://www.bleepingcomputer.com/
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…