Une campagne d’extraction de crypto-monnaie ciblant macOS utilise des logiciels malveillants qui ont évolué pour devenir une variante complexe, ce qui pose beaucoup de difficulté aux chercheurs à l’analyser.

Le malware est suivi comme OSAMiner et est dans la nature depuis au moins 2015. Pourtant, son analyse est difficile car les charges utiles sont exportées sous forme de fichiers AppleScript exécutables uniquement, ce qui rend leur décompilation en code source un défi de taille.

Une variante récemment observée rend l’analyse encore plus difficile car elle intègre un AppleScript à exécution uniquement dans un autre script et utilise des URL dans des pages Web publiques pour télécharger le mineur Monero.

Inversion d’AppleScript pour l’exécution uniquement

OSAMiner se propage généralement via des copies piratées de jeux et de logiciels, League of Legends et Microsoft Office pour macOS étant parmi les exemples les plus populaires.

Le malware a fait l’objet de recherches dans le passé [1, 2] mais le fichier AppleScript à exécution seule a entravé l’analyse complète, la limitant à l’observation du comportement de l’échantillon.

Les fichiers AppleScript incluent à la fois le code source et le code compilé, mais l’activation de la fonction « exécution seule » enregistre uniquement la version compilée, de sorte que le code lisible par l’homme n’est plus disponible, supprimant ainsi la possibilité de rétro-ingénierie.

Des chercheurs en sécurité de Sentinel One ont découvert fin 2020 un nouvel échantillon d’OSAMiner qui compliquait «le processus d’analyse déjà difficile».

Cependant, ils ont pu effectuer une rétro-ingénierie de certains échantillons qu’ils ont collectés en utilisant un désassembleur AppleScript moins connu (le désassembleur applescript de Jinmo) et un outil de décompilation développé en interne appelé aevt_decompile.

Actions d’évasion

Les récentes campagnes OSAMiner utilisent trois fichiers AppleScript exécutables uniquement pour déployer le processus d’exploration de données sur la machine macOS infectée, selon Sentinel One:

  • un script parent qui s’exécute à partir de l’application trojanized
  • un script intégré
  • la configuration du mineur AppleScript

Le rôle principal du script parent est d’écrire l’AppleScript intégré dans …

Voir la source de cette publication