Σύμφωνα με την εταιρεία ασφαλείας SentinelOne, οι χρήστες macOS ήταν στόχοι μιας ύπουλης malware εκστρατείας για περισσότερα από πέντε χρόνια. Η εκστρατεία αυτή χρησιμοποιούσε ένα έξυπνο τέχνασμα (run-only AppleScripts) για να αποφύγει την ανίχνευση και στόχευε στην εξόρυξη cryptocurrency από τα macOS συστήματα των θυμάτων.
Οι ερευνητές είπαν ότι το malware που χρησιμοποιείται στην εκστρατεία ονομάζεται OSAMiner και διανέμεται τουλάχιστον από το 2015, μέσω πειρατικών (cracked) παιχνιδιών και λογισμικών, όπως το League of Legends και το Microsoft Office για Mac.
“Το OSAMiner είναι ενεργό για μεγάλο χρονικό διάστημα και έχει εξελιχθεί τους τελευταίους μήνες“, δήλωσε εκπρόσωπος της SentinelOne στο ZDNet.
“Από τα δεδομένα που έχουμε, φαίνεται να στοχεύει κυρίως κοινότητες της Κίνας και της περιοχής Ασίας-Ειρηνικού“, πρόσθεσε ο εκπρόσωπος.
 όσο και η έλλειψη προσοχής){kind=link}
Run-only AppleScripts για την αποφυγή της ανίχνευσης
Όπως είπαμε και παραπάνω, το cryptominer διανέμεται τουλάχιστον από το 2015. Ωστόσο, σύμφωνα με τη SentinelOne, δύο κινεζικές εταιρείες ασφαλείας εντόπισαν και ανέλυσαν παλαιότερες εκδόσεις του OSAMiner τον Αύγουστο και τον Σεπτέμβριο του 2018, αντίστοιχα.
Οι αναφορές τους, όμως, ήταν ελλιπείς, αφού διέκριναν μόνο μερικές δυνατότητες του OSAMiner. Αυτό οφειλόταν σε έναν βαθμό στο ότι οι ερευνητές δεν μπόρεσαν να ανακτήσουν ολόκληρο τον κώδικα του κακόβουλου λογισμικού εκείνη τη στιγμή.
Μετά την εγκατάσταση του πειρατικού λογισμικού, τα boobytrapped installers κατεβάζουν και εκτελούν ένα run-only AppleScript, το οποίο κατεβάζει και εκτελεί ένα δεύτερο run-only AppleScript, και στη συνέχεια ένα τρίτο.
Δεδομένου ότι το “run-only” AppleScript βρίσκεται σε μια κατάσταση όπου ο source code δεν μπορεί να διαβαστεί από τον άνθρωπο, η ανάλυση του cryptominer είναι ακόμα πιο δύσκολη.
Ερευνητής της SentinelOne δημοσίευσε λεπτομέρειες για την επίθεση, μαζί με δείκτες παραβίασης (IOC) παλαιότερων και νεότερων εκστρατειών του OSAMiner. Η ερευνητική ομάδα ελπίζει ότι σπάζοντας το μυστήριο που περιβάλλει αυτήν την εκστρατεία και δημοσιεύοντας IOCs, άλλοι πάροχοι λογισμικού ασφαλείας macOS θα μπορούν να εντοπίζουν επιθέσεις του OSAMiner και να προστατεύουν τους χρήστες macOS.
“Τα run-only AppleScripts είναι εκπληκτικά σπάνια στον κόσμο των macOS malware, αλλά τόσο η διάρκεια (5 χρόνια) όσο και η έλλειψη προσοχής στην εκστρατεία OSAMiner δείχνουν ακριβώς πόσο ισχυρά είναι τα run-only AppleScripts για την αποφυγή εντοπισμού και ανάλυσης“, κατέληξε ο ερευνητής.
“Σε αυτήν την περίπτωση, δεν είδαμε τον επιτιθέμενο να χρησιμοποιεί οποιαδήποτε από τις πιο ισχυρές δυνατότητες AppleScript που έχουμε συζητήσει αλλού. Είναι, όμως, μια απειλή που παραμένει ισχυρή αφού δεν μπορούν να τη διαχειριστούν πολλά εργαλεία άμυνας“.
Πηγή: ZDNet