Software malicioso OSAMiner

Software malicioso OSAMiner Descripción

Una amenazante campaña de minería de criptomonedas que se está ejecutando desde al menos 2015 finalmente ha sido sacada a la luz por investigadores de seguridad de información de SentinelOne. La operación generó una amenaza de minería criptográfica llamada OSAMiner y se dirigió principalmente a usuarios de Mac de la región de China y Asia-Pacífico. La amenaza apareció en el radar de dos empresas chinas de ciberseguridad en 2018, pero sin tener acceso al código fuente completo, los investigadores no pudieron determinar el alcance total y las capacidades de la operación.

El truco que permitió a OSAMiner continuar su trabajo en las sombras durante tanto tiempo fue el uso de una cadena de ataque de múltiples fases que involucraba archivos AppleScript anidados de solo ejecución. El ataque comienza cuando los usuarios descargan software comprometido en sus sistemas Mac, como versiones Mac pirateadas (pirateadas) del extremadamente popular videojuego League of Legends o la suite de Microsoft Office para Mac.

Cuando se instaló el software crackeado, inició la primera etapa del ataque de OSAMiner, que implica descargar y ejecutar un AppleScript de solo ejecución. A su vez, el archivo descargado iniciará un segundo AppleScript de solo ejecución, que se entrega cuando se produce otro AppleScript de solo ejecución. El hecho de que estos archivos estén en un estado compilado hizo que el análisis fuera mucho más difícil ya que no se puede acceder fácilmente al código fuente. Una vez implementado en el dispositivo objetivo, OSAMiner comenzaría a explotar los recursos de hardware del sistema para extraer criptomonedas.

Si bien este método de ataque es bastante poco común en el ecosistema de malware de Mac, la longevidad de la operación OSAMiner y su capacidad para permanecer sin ser detectado durante años demuestran definitivamente su potencia. Ahora, con los Indicadores de Compromiso (IoC) registrados a la vista, los usuarios tendrán una probabilidad mucho mayor de protegerse de las versiones actuales y pasadas de esta amenaza de malware.