Logiciel malveillant OSAMiner

Description de Logiciel malveillant OSAMiner

Une campagne menaçante de crypto mining en cours depuis au moins 2015 a finalement été mise au jour par les chercheurs infosec de SentinelOne. L'opération a livré une menace d'extraction de crypto nommée OSAMiner et ciblait principalement les utilisateurs Mac de la région chinoise et Asie-Pacifique. La menace est apparue sur le radar de deux sociétés chinoises de cybersécurité en 2018, mais sans avoir accès au code source complet, les chercheurs n'ont pas pu déterminer la portée et les capacités complètes de l'opération.

L'astuce qui a permis à OSAMiner de continuer son travail dans l'ombre pendant si longtemps était l'utilisation d'une chaîne d'attaque multiphase qui impliquait des fichiers AppleScript imbriqués exécutables uniquement. L'attaque commence par le téléchargement de logiciels compromis sur leurs systèmes Mac, tels que des versions Mac fissurées (piratées) du très populaire jeu vidéo League of Legends ou de la suite Microsoft Office pour Mac.

Lorsque le logiciel piraté a été installé, il a lancé la première étape de l'attaque d'OSAMiner, qui consiste à télécharger et à exécuter un AppleScript en exécution uniquement. À son tour, le fichier téléchargé lancera un deuxième AppleScript d'exécution uniquement, qui sera diffusé lorsqu'un autre AppleScript d'exécution uniquement se produit. Le fait que ces fichiers soient dans un état compilé a rendu l'analyse d'autant plus difficile que le code source n'est pas facilement accessible. Une fois déployé sur l'appareil ciblé, OSAMiner commencerait à exploiter les ressources matérielles du système pour extraire des crypto-monnaies.

Bien que cette méthode d'attaque soit assez rare dans l'écosystème des malwares Mac, la longévité de l'opération OSAMiner et sa capacité à ne pas être détectée pendant des années démontrent définitivement sa puissance. Désormais, avec les indicateurs de compromis (IoC) enregistrés à découvert, les utilisateurs auront beaucoup plus de chances de se protéger des versions actuelles et passées de cette menace de malware.