OSAMiner Malware

En truende kryptominingskampagne, der har kørt siden mindst 2015, er endelig blevet belyst af infosec-forskere på SentinelOne. Operationen leverede en kryptominingstrussel ved navn OSAMiner og målrettede Mac-brugere fra den kinesiske og Asien-Stillehavsregionen overvejende. Truslen blev vist på radaren fra to kinesiske cybersikkerhedsfirmaer tilbage i 2018, men uden at have adgang til den fulde kildekode kunne forskerne ikke bestemme operationens fulde omfang og kapacitet.

Tricket, der gjorde det muligt for OSAMiner at fortsætte sit arbejde i skyggen så længe var brugen af en flerfaseangrebskæde, der involverede indlejrede AppleScript-filer, der kun var kørt. Angrebet begynder med, at brugere downloader kompromitteret software til deres Mac-systemer, såsom revnede (piratkopierede) Mac-versioner af den ekstremt populære videospil League of Legends eller Microsoft Office-pakken til Mac.

Da den krakkede software blev installeret, startede den den første fase af OSAMiner's angreb, som involverer download og udførelse af kun kørende AppleScript. Til gengæld starter den downloadede fil et andet AppleScript, der kun kører, hvilket leverer, når et andet AppleScript kun kører. Det faktum, at disse filer er i en kompileret tilstand, gjorde en analyse, der var meget sværere, da kildekoden ikke let kan tilgås. Når OSAMiner blev implementeret på den målrettede enhed, begyndte hun at udnytte systemets hardwarressourcer til minedrift til kryptovalutaer.

Mens denne angrebsmetode er ret ualmindelig i Mac-malware-økosystemet, viser OSAMiner-operationens levetid og dens evne til at forblive uopdaget i årevis sin styrke bestemt. Nu med registrerede kompromisindikatorer (IoC) ude i det fri, har brugerne en langt større chance for at beskytte sig mod den nuværende og tidligere version af denne malware-trussel.