OSAMiner Malware

Een bedreigende cryptominingcampagne die al sinds 2015 loopt, is eindelijk aan het licht gebracht door infosec-onderzoekers van SentinelOne. De operatie leverde een cryptomining-dreiging genaamd OSAMiner op en richtte zich voornamelijk op Mac-gebruikers uit de Chinese en Azië-Pacific regio. De dreiging verscheen in 2018 op de radar van twee Chinese cyberbeveiligingsbedrijven, maar zonder toegang tot de volledige broncode konden de onderzoekers de volledige reikwijdte en mogelijkheden van de operatie niet bepalen.

De truc waardoor OSAMiner zijn werk zo lang in de schaduw kon voortzetten, was het gebruik van een meerfasige aanvalsketen met geneste run-only AppleScript-bestanden. De aanval begint met het downloaden van gecompromitteerde software naar hun Mac-systemen, zoals gekraakte (illegale) Mac-versies van de extreem populaire videogame League of Legends of de Microsoft Office-suite voor Mac.

Toen de gekraakte software werd geïnstalleerd, startte het de eerste fase van de OSAMiner-aanval, die het downloaden en uitvoeren van een run-only AppleScript omvat. Het gedownloade bestand start op zijn beurt een tweede run-only AppleScript, dat wordt geleverd wanneer een ander run-only AppleScript optreedt. Het feit dat deze bestanden zich in een gecompileerde staat bevinden, maakte de analyse veel moeilijker omdat de broncode niet gemakkelijk toegankelijk is. Eenmaal geïmplementeerd op het beoogde apparaat, zou OSAMiner de hardwarebronnen van het systeem gaan exploiteren om cryptocurrencies te delven.

Hoewel deze aanvalsmethode vrij ongebruikelijk is in het Mac-malware-ecosysteem, bewijzen de lange levensduur van de OSAMiner-operatie en het vermogen om jarenlang onopgemerkt te blijven, de potentie ervan. Nu de geregistreerde Indicators of Compromise (IoC) openbaar zijn, hebben gebruikers een veel grotere kans om zichzelf te beschermen tegen de huidige en eerdere versies van deze malwarebedreiging.