skip to Main Content

Cybercrime, ecco OSAMiner: cryptominer nascosto nei computer Apple da 5 anni

di Pierguido Iezzi

Si chiama OSAMiner ed è un cryptominer nascosto nei computer Apple da 5 anni

C’è un cryptominer rimasto nascosto in migliaia di dispositivi Apple da almeno cinque anni. Ciò grazie a una caratteristica di AppleScript, per cui gli script vengono compressi in forma precompilata. Alcuni attori del cybercrime hanno perciò potuto eludere per diversi anni sistemi di sicurezza informatica disseminati in giro per il mondo. Sfruttando questa falla, è stato per loro facile rilasciare un malware, specializzato nel mining di cryptovaluta. Nella totale indifferenza, questo trojan ha sfruttato la potenza computazionale delle macchine infettate per minare criptovalute da cinque anni a questa parte.

Il malware si diffonde in modalità stealth grazie ad alcuni AppleScript

I protagonisti negativi di questa vicina sono gli AppleScript di sola esecuzione (run-only scripts) – ciò che con termini più moderni potrebbe essere definito “bytecode”. Si tratta di elementi scarsamente documentati e difficili da analizzare. Proprio per questo motivo, negli anni passati è risultato difficile anche solo estrarre degli indicatori che potessero evidenziare la violazione da parte di un malware. Il malware, silenzioso e instancabile, si chiama macOS.OSAMiner ed è attivo dal 2015. Dai primi dati emerge una maggiore diffusione del trojan soprattutto nel continente asiatico. Ciò detto, non sono stati esclusi casi simili anche in altre zone del mondo. Per evitare di essere scoperti dai ricercatori di cybersecurity di mezzo mondo, i threat actors hanno dirottato le funzionalità hardware degli utenti colpiti per estrarre cryptovaluta. OSAMiner è stato infatti nascosto all’interno di giochi e software piratati o cracckati tra cui titoli di grandissimo successo come League of Legends e il pacchetto Microsoft Office per Mac.

Il trojan era stato già rilevato negli anni passati, ma la sua scansione era stata solo superficiale

Questo cryptominer non è comunque passato del tutto inosservato in tutti questi anni. SentinelOne ha dichiarato che due aziende di cybersecurity cinesi avrebbero individuato e analizzato versioni precedenti di OSAMiner, rispettivamente ad agosto e settembre 2018. L’attività diagnostica, però, si è limitata a una scansione superficiale del malware. Il motivo è piuttosto semplice: al momento della prima rilevazione, i ricercatori non sono stati in grado di recuperare l’intero codice del trojan. Ciò proprio grazie all’utilizzo di AppleScript di sola esecuzione.

Come si diffonde OSAMiner nei computer Apple

Dopo aver scaricato sui loro computer Apple la versione contraffatta del gioco o del software contaminato, gli utenti procedevano all’installazione. Durante questa procedura venivano eseguiti AppleScript di sola esecuzione in serie, ovvero il primo script ne scaricava ed eseguiva un secondo e così via. Di default, gli AppleScript “run-only” hanno una forma precompilata, nella quale il codice sorgente non è leggibile, rendendo più complesso il lavoro dei team di cybersecurity. Con la pubblicazione completa della catena di attacco e degli IOC delle campagne passate e recenti che hanno visto protagonista OSAMiner, è stato più semplice avere un quadro più completo della situazione. La speranza è che tali dati aiutino sviluppatori di software antivirus per Mac a rilevare gli attacchi di OSAMiner e di malware simili, proteggendo così gli utenti. Gli AppleScripts run-only sono sfruttati in modo sorprendentemente raro dai malware macOS, ma sia la durata che la mancanza di attenzione verso la campagna di OSAMiner mostra esattamente quanto devastanti possano essere gli effetti di un’infezione che sfrutta questo meccanismo. Per approfondire la questione, gli IOC sono disponibili nel rapporto OSAMiner di SentinelOne.

L’utilizzo degli AppleScript per nascondere l’offensiva del cybercrime

Evitare il rilevamento durante l’offensiva è un obiettivo primario per tutti i malware (anche per i ransomware, che non devono essere notati se non dopo il rilascio della nota di riscatto). AppleScript offre agli aggressori diversi modi per attuare questo piano strategico: vista la capacità di AppleScript di eseguire codice Objective C senza bisogno di un binary compilato, concede il fianco a una serie di attacchi.  Fortunatamente, è ora possibile utilizzare vari strumenti di cybersecurity di recente sviluppo che sfruttano il nuovo framework Apple Endpoint Security per rendere visibile il codice degli AppleScript senza dover sviluppare applicazioni da zero.

Conclusione

Vista l’esistenza di diversi aggressori che hanno già tratto vantaggio dal meccanismo di funzionamento degli AppleScript, è ragionevole supporre che tale tendenza possa rafforzarsi in futuro. Con l’evoluzione degli strumenti di supporto alla lettura del codice e alla verifica della presenza di eventuali minacce, è auspicabile un maggior utilizzo di questo strumento anche a fini diagnostici e preventivi. Grazie ai potenti framework Cocoa, la varietà di metodi di esecuzione e ora la disponibilità di un eccellente IDE gratuito, AppleScript è diventato uno strumento potente, versatile e facile da sviluppare. Gli aggressori cercheranno sempre di sfruttare i dettagli più impensabili, come dimostra lo stesso fatto che l’attacco sferrato ad AppleScript oggetto di questo articolo sia rimasto sotto traccia per almeno 5 anni. Ma è bene ricordare che gli AppleSCript sono una sorta di PowerShell per macOS. È quindi auspicabile che i responsabili di security e gli sviluppatori invertano la tendenza, smettendola di considerare AppleScript come un linguaggio di programmazione indigesto e riconoscere che potrebbe trattarsi di uno strumento incredibilmente potente a fini difensivi.

Non abbassiamo la guardia!

Back To Top