Un mineur de cryptomonnaie planqué dans des AppleScript tourne depuis cinq ans

Un mineur de cryptomonnaie planqué dans des AppleScript tourne depuis cinq ans

Un mineur de crypto-monnaie se cachait dans des versions piratées ou fissurées d’Office, League of Legends et d’autres logiciels Mac qui étaient distribués aux communautés en Chine et en Asie-Pacifique depuis plus de cinq ans. Selon la découverte des chercheurs de SentinelOne, ce petit logiciel pompe les ressources du Mac pour «miner» la crypto en vrac, non pas au profit de l’utilisateur, bien sûr, mais celui des voyous à leur source.

Ce n’est pas la première fois que ce malware appelé OSAMiner apparaît. En août et septembre 2018, des chercheurs chinois ont découvert le mineur caché, mais n’ont pas été en mesure d’aller plus loin ni de déterminer de quoi ce logiciel intelligent était capable. Il faut dire que ça se cache assez bien: après des téléchargements piratés, l’installateur récupère et lance un AppleScript en lecture seule qui récupère et démarre un deuxième AppleScript qui récupère et démarre un troisième AppleScript final (!).

Ce type d’attaque est très rare dans le petit monde des malwares Mac, explique Phil Stokes, l’un des fondateurs d’OSAMiner. «La longévité et le manque d’attention [pour ce malware] qui existe depuis au moins cinq ans montre exactement à quel point les scripts AppleScript sont puissants pour éviter les analyses [par les chercheurs en sécurité]», soutient-il.

Parce que ces AppleScripts sont compilés, leur code source est illisible, ce qui complique la tâche des chercheurs en sécurité. Cependant, ceux de SentinelOne l’ont fait, démontrant la vraie nature d’OSAMiner, qui a évolué au fil des ans. Plus important encore, grâce à cette découverte, les sociétés d’antivirus peuvent mettre à jour leurs logiciels pour protéger les Mac des futures attaques de ce malware.

Un mineur de cryptomonnaie planqué dans des AppleScript tourne depuis cinq ans
4.9 (98%) 32 votes