AppleScriptを利用したクリプトジャッカー、OSAMinerが5年も潜伏③

OSAMiner: The Apple cryptojacker that hid for five years

OSAMinerの真の目的

この新しいスクリプトは確かに興味深いものですが、パズルの1ピースにすぎません。OSAMinerの主な目的はクリプトジャッキングです。検知を回避するのに加えて、OSAMinerはオープンソースのMoneroMinerである「XMR-STAK-RX」をダウンロードして実行します。また、感染したシステムがスリープモードになるのを別のスクリプトが阻むため、OSAMinerは与えられた処理能力を最大限に活かせるようになります。つまり、攻撃者の利益が最大化されるということです。OSAMinerがいったんインストールされ、実行されると、感染したシステムでアクティビティモニターアプリを開きにくくなったり、CPU使用率が高くなったりするだけでなく、システムがクラッシュしたりする可能性もあります。

OSAMinerは通常、Microsoft Officeのような生産性アプリケーションや、「リーグ・オブ・レジェンド」のようなゲームの海賊版のソフトウェアとともに配布されます。また、このようなクリプトマイニング トロイの木馬が偽のソフトウェアアップデートや、被害者に新しいソフトウェアのインストールや一般的なアプリケーションのアップデートを促すメールキャンペーンを通じて配布されるのを目にすることも珍しくはありません。

アクロニス製品による検知

Acronis Cyber ProtectおよびAcronis True Image 2021は、アクロニスの先進的なマルウェア対策エンジンとリアルタイムの保護技術を統合し、OSAMinerの全亜種を含むクリプトマイニングマルウェアをブロックします。

Detecting OSAMiner with Acronis Cyber Protect

IoC

  • com.apple.4V.plist
    • MD5: 831c1ec1b594ace3c97787b077ba9dac
    • SHA256: df550039acad9e637c7c3ec2a629abf8b3f35faca18e58d447f490cf23f114e8
    • Dropped in the ~/Library/LaunchAgents/ directory
  • com.apple.FY9.plist
    • MD5: 414205439abd5751c0d410fa2ccd539b
    • SHA256: 9ad23b781a22085588dd32f5c0a1d7c5d2f6585b14f1369fd1ab056cb97b0702
    • Persistence agent for com.apple4V.plist
  • k.plist
    • MD5: f591fcb164d2d66910a9bbac495a721e
    • SHA256: f145fce4089360f1bc9f9fb7f95a8f202d5b840eac9baab9e72d8f4596772de9
    • Dropped at ~/Library/k.plist for detection evasion
    • Also seen as em.scpt
  • wodaywo.png
    • MD5: 0e818270ec95f661660442b60b935d74
    • SHA256: 24cd2f6c4ad6411ff4cbb329c07dc21d699a7fb394147c8adf263873548f2dfd
    • Dropped as ~/Library/11.png for miner configuration and downloader
    • Also wodaywo.scpt when not disguised as a .png image file
  • ssl4.plist
    • MD5: deb6c97315615faa44a0ac07244e7570
    • SHA256: 97febb1aa15ad7b1c321f056f7164526eb698297e0fea0c23bd127498ba3e9bb
    • Mach-O, XMR-Stak miner, dropped at ~/Library/Caches/com.apple.XX/ssl4.plist - “XX” is replaced with two uppercase letters