OSAMiner

OSAMiner: The Apple cryptojacker that hid for five years

OSAMinerの真の目的

この新しいスクリプトは確かに興味深いものですが、パズルの1ピースにすぎません。OSAMinerの主な目的はクリプトジャッキングです。検知を回避するのに加えて、OSAMinerはオープンソースのMoneroMinerである「XMR-STAK-RX」をダウンロードして実行します。また、感染したシステムがスリープモードになるのを別のスクリプトが阻むため、OSAMinerは与えられた処理能力を最大限に活かせるようになります。つまり、攻撃者の利益が最大化されるということです。OSAMinerがいったんインストールされ、実行されると、感染したシステムでアクティビティモニターアプリを開きにくくなったり、CPU使用率が高くなったりするだけでなく、システムがクラッシュしたりする可能性もあります。

OSAMiner: The Apple cryptojacker that hid for five years

実行専用の埋め込みAppleScriptの分析

OSAMinerに関連付けられているファイルのうち、いくつかは拡張子が「.plist」のプロパティリストファイルでしたが、正しいプロパティリストファイルは1つのみだったため、調査はこのファイルから開始しました。単純なファイルでしたが、このクリプトジャッキング攻撃で使用された重要なファイルの配布に関わっていました。

Filename: com.apple.FY9.plist
MD5: 414205439abd5751c0d410fa2ccd539b
SHA-256: 9ad23b781a22085588dd32f5c0a1d7c5d2f6585b14f1369fd1ab056cb97b0702

OSAMiner - code capture 1