macOS恶意软件使用只能运行的AppleScript来避免五年的检测
五年多来,macOS用户一直是偷偷摸摸的恶意软件操作的目标,该操作使用巧妙的技巧来避免检测并劫持受感染用户的硬件资源,以在其背后挖掘加密货币。
安全公司SentinelOne在本周发布的一份报告中表示,自从至少2015年以来,该恶意软件一直在野外散布,这些软件伪装成盗版(破解)的游戏和软件,例如《英雄联盟》和Microsoft Office for Mac。
" OSAMiner活跃了很长时间,并且在最近几个月有所发展," SentinelOne发言人在周一的电子邮件采访中告诉ZDNet。
"从我们得到的数据来看,它似乎主要针对中国人/亚太社区,"发言人补充说。
但是这个加密矿工并没有被完全忽视。 SentinelOne表示,两家中国安全公司分别于2018年8月和2018年9月发现并分析了OSAMiner的较旧版本。
SentinelOne macOS恶意软件研究员Phil Stokes昨日表示,但他们的报告仅是OSAMiner功能的表面。
主要原因是安全研究人员当时无法检索恶意软件的整个代码,该代码使用嵌套的只能运行的AppleScript文件在不同阶段检索其恶意代码。
当用户安装了盗版软件时,被诱骗的安装程序将下载并运行仅运行的AppleScript,后者将下载并运行第二个仅运行的AppleScript,然后再运行最后的第三个仅运行的AppleScript。
由于"只能运行" AppleScript处于已编译状态,在该状态下,源代码是人类无法读取的,这使安全研究人员难以进行分析。
昨天,斯托克斯发布了此次攻击的全过程,以及过去和较新的OSAMiner运动的危害指标(IOC)。斯托克斯和SentinelOne团队希望,通过最终破解围绕该活动的谜团并发布IOC,其他macOS安全软件提供商现在将能够检测到OSAMiner攻击并帮助保护macOS用户。
"仅可运行的AppleScript在macOS恶意软件世界中很少见,但是macOS的长寿和缺乏关注。OSAMiner活动可能已经运行了至少5年,这恰好显示了运行的强大程度只能使用AppleScript进行回避和反分析,"斯托克斯昨天在他的报告中总结道。
"在这种情况下,我们还没有看到参与者使用AppleScript的任何更强大的功能,这些功能我们已经在其他地方讨论过了[1、2],但这仍然是一个开放的攻击媒介,其中许多防御工具无法处理。"
