Grâce au mode d’exécution seule des scripts AppleScript, le malware OSAMiner a joué à cache-cache avec les chercheurs en sécurité.
Pendant cinq ans, le malware macOS OSAMiner a donné du fil à retordre aux chercheurs en sécurité. Apparu en 2015, ce malware vient enfin d’être analysé par la société SentinelOne. Pourquoi ces cinq années d’attente ? Parce que les concepteurs du malware avaient trouvé une astuce pour empêcher son analyse : utiliser des scripts AppleScript en mode Exécution seule pour la partie payload.
Pas de version lisible du script
Avec ce mode, seule la version exécutable binaire du script est disponible. L’absence d’une version lisible du script rend alors sa compréhension très difficile. Ainsi, le malware a été détecté en 2018 mais les chercheurs n’ont pas pu le décortiquer dans les détails. Sa détection a été rendue possible par son action de miner de la cryptomonnaie. Cette action consomme beaucoup de ressources processeur et des utilisateurs se sont étonnés des lenteurs de leur Mac.
Une nouvelle variante du malware a encore plus compliqué la tâche des chercheurs en utilisant pas moins de trois scripts en exécution seule, imbriqués les uns dans les autres comme des poupées russes. Pour miner la cryptomonnaie, les pirates utilisent le programme open source Monero qui fonctionne sous Windows, Linux ou macOS.
Toutefois, les chercheurs de SentinelOne ont réussi à procéder à un reverse engineering de quelques échantillons du malware en utilisant un désassembleur AppleScript et un outil de décompilation développé en interne. Dans un rapport détaillé, les chercheurs donnent de précieux éléments sur le malware, ainsi que des Indicateur de compromission (IOC) qui permettront de le détecter plus facilement.
Le malware OSAMiner se propage dans les jeux et les logiciels piratés, par exemple League of Legends et Microsoft Office. Il est surtout actif en Chine et dans d’autres pays asiatiques.