OSAMiner Malware

OSAMiner Malware-Beschreibung

Eine bedrohliche Crypto-Mining-Kampagne, die seit mindestens 2015 läuft, wurde von Infosec-Forschern bei SentinelOne endlich ans Licht gebracht. Die Operation lieferte eine Crypto-Mining-Bedrohung namens OSAMiner und richtete sich vorwiegend an Mac-Benutzer aus der chinesischen und asiatisch-pazifischen Region. Die Bedrohung tauchte bereits 2018 auf dem Radar zweier chinesischer Cybersicherheitsunternehmen auf, doch ohne Zugriff auf den vollständigen Quellcode konnten die Forscher den vollen Umfang und die Möglichkeiten des Vorgangs nicht bestimmen.

Der Trick, der es OSAMiner ermöglichte, seine Arbeit so lange im Schatten fortzusetzen, war die Verwendung einer mehrphasigen Angriffskette, die verschachtelte Nur-Run-AppleScript-Dateien umfasste. Der Angriff beginnt damit, dass Benutzer kompromittierte Software auf ihre Mac-Systeme herunterladen, z. B. geknackte (raubkopierte) Mac-Versionen des äußerst beliebten Videospiels League of Legends oder der Microsoft Office-Suite für Mac.

Als die geknackte Software installiert wurde, leitete sie die erste Phase des OSAMiner-Angriffs ein, bei der ein Nur-Run-AppleScript heruntergeladen und ausgeführt wird. Die heruntergeladene Datei initiiert wiederum ein zweites AppleScript, das nur ausgeführt werden kann, wenn ein anderes AppleScript nur ausgeführt wird. Die Tatsache, dass sich diese Dateien in einem kompilierten Zustand befinden, erschwerte die Analyse erheblich, da auf den Quellcode nicht ohne weiteres zugegriffen werden kann. Sobald OSAMiner auf dem Zielgerät bereitgestellt wurde, nutzte es die Hardwareressourcen des Systems, um nach Kryptowährungen zu suchen.

Während diese Angriffsmethode im Mac-Malware-Ökosystem eher ungewöhnlich ist, zeigen die Langlebigkeit des OSAMiner-Vorgangs und seine Fähigkeit, jahrelang unentdeckt zu bleiben, definitiv seine Wirksamkeit. Jetzt, da aufgezeichnete Indikatoren für Kompromisse (IoC) offen sind, haben Benutzer eine viel höhere Chance, sich vor den aktuellen und früheren Versionen dieser Malware-Bedrohung zu schützen.