据保安公司介绍 哨兵一号, 用户 过去五年来,macOS一直是恶意软件活动的目标。 该广告系列使用了一个巧妙的技巧(只能运行AppleScript)来 避免检测 并瞄准 采掘 cryptocurrency 从macOS 系统 受害者
研究人员说 恶意软件 该活动中使用的称为 OSAMiner 至少从2015年开始分发, 通过盗版(破解)游戏和软件,例如英雄联盟和Microsoft Office for Mac。
“OSAMiner已经活跃了很长时间,并且在最近几个月中不断发展”,SentinelOne代表ZDNet说。
“来自 数据 我们拥有的似乎主要针对其社区 中国 和她 亚太地区”,发言人补充说。
仅限运行的AppleScript避免爬网
如上所述,该加密矿工至少从2015年开始分发。但是,根据SentinelOne的说法,有两个中国人 公司 安全 确定并分析了OSAMiner的早期版本 八月 和他 九月 分别为2018年
但是,他们的报告不完整,因为他们仅区分了OSAMiner的一些功能。 部分原因是由于研究人员当时无法检索全部恶意软件代码。
安装盗版软件后,被诱骗的安装程序下载并运行一个 只能运行的AppleScript, 它将下载并执行第二个只能运行的AppleScript,然后执行第三个。
由于“只能运行” AppleScript处于状态 哪里 源代码 人无法阅读,加密矿工分析就更加困难。
SentinelOne调查人员已发布了攻击的详细信息,以及较新的OSAMiner运动的IOC指示器。 研究团队希望通过打破围绕此活动的谜团并发布IOC,其他软件提供商 安全 macOS将能够检测和保护OSAMiner攻击 用户 MacOS的。
“仅运行的AppleScript令人惊叹 很少 在macOS恶意软件领域中,但是持续时间(5年)和OSAMiner活动缺乏关注都表明了 仅运行的AppleScript可以避免检测和分析,因此功能强大”,结论是研究员。
“在这种情况下,我们没有看到攻击者使用我们在其他地方讨论过的任何更强大的AppleScript功能。 但是,这是一个 威胁 由于许多防御工具无法处理,因此它仍然很坚固“。
资料来源:ZDNet
Greek
Chinese (Simplified)
English
Greek
Russian όσο και η έλλειψη προσοχής){kind=link}