Пользователи macOS как минимум пять лет подвергались атакам вредоносной программы OSAMiner, которая умело уклонялась от обнаружения, используя технологию AppleScript.

Компьютеры на базе macOS долгое время использовались мошенниками для скрытого майнинга криптовалюты. В течение пяти лет программе OSAMiner удавалось избежать обнаружения, сообщили специалисты по кибербезопасности из SentinelOne.

Как сообщается, вредоносное ПО, получившее название OSAMiner, появилось в сети не позднее 2015 года. Оно распространялось, замаскированным в пиратских (взломанных) играх и прочих программных продуктах, включая League of Legends и Microsoft Office for Mac.

По имеющимся данным, географически OSAMiner главным образом ориентирован на Китай и Азиатско-Тихоокеанский регион. Его активность там не осталась полностью незамеченной: в августе и сентябре 2018 года две китайские фирмы обнаружили и проанализировали старые версии OSAMiner. Но их доклады не давали полного представления о возможностях OSAMiner, заявил Фил Стоукс (Phil Stokes), исследователь вредоносного ПО для macOS из SentinelOne.

Проведенное в SentinelOne исследование позволило выяснить причину таких затруднений. Как оказалось, OSAMiner загружает свой код по частям, используя составные файлы AppleScript со статусом run-only. Опция run-only позволяет запускать управляющий сценарий AppleScript как приложение без входа в режим редактирования и скрыть, таким образом, его исходный код.

Стоукс и команда SentinelOne надеются, что, публикация ими полной цепочки этой атаки, а также индикаторов взлома (IOC) для старых и новых версий OSAMiner, поможет поставщикам средств обеспечения безопасности macOS обнаруживать такие атаки и защищать от них пользователей macOS.

Источник: securitylab