OSAMiner Malware

Una minacciosa campagna di mining di criptovalute in corso almeno dal 2015 è stata finalmente portata alla luce dai ricercatori infosec di SentinelOne. L'operazione ha fornito una minaccia di mining di criptovaluta chiamata OSAMiner e ha preso di mira prevalentemente gli utenti Mac della regione cinese e dell'Asia-Pacifico. La minaccia è apparsa sul radar di due società di sicurezza informatica cinesi nel 2018, ma senza avere accesso al codice sorgente completo, i ricercatori non sono stati in grado di determinare la portata e le capacità complete dell'operazione.

Il trucco che ha permesso a OSAMiner di continuare il suo lavoro nell'ombra per così tanto tempo è stato l'uso di una catena di attacchi multifase che ha coinvolto file AppleScript di sola esecuzione annidati. L'attacco inizia con gli utenti che scaricano software compromesso sui loro sistemi Mac, come le versioni Mac crackate (piratate) del famosissimo videogioco League of Legends o la suite Microsoft Office per Mac.

Quando il software crackato è stato installato, ha avviato la prima fase dell'attacco di OSAMiner, che prevede il download e l'esecuzione di un AppleScript di sola esecuzione. A sua volta, il file scaricato avvierà un secondo AppleScript di sola esecuzione, che fornisce quando si verifica un altro AppleScript di sola esecuzione. Il fatto che questi file siano in uno stato compilato ha reso l'analisi molto più difficile poiché non è possibile accedere facilmente al codice sorgente. Una volta distribuito sul dispositivo mirato, OSAMiner inizierà a sfruttare le risorse hardware del sistema per estrarre criptovalute.

Sebbene questo metodo di attacco sia abbastanza raro nell'ecosistema di malware per Mac, la longevità dell'operazione OSAMiner e la sua capacità di rimanere inosservata per anni dimostrano decisamente la sua potenza. Ora con Indicators of Compromise (IoC) registrati allo scoperto, gli utenti avranno maggiori possibilità di proteggersi dalle versioni attuali e passate di questa minaccia malware.