Sicherheitsforscher Phil Stokes von
Sentinelone schlägt in einem ausführlichen
Blogpost Alarm: Auf manchen MacOS-Systemen könnte sich seit Jahren eine Kryptominer-Malware namens Osaminer verbergen, die sich zudem ständig weiterentwickle. Der Schädling wehre sich seit mindestens fünf Jahren gegen eine vollständige Analyse, da er sich aus mehreren Applescript-Scripts im Run-only-Modus zusammensetze. Die Scripts sind offenbar ineinander verschachtelt und beziehen weiteren Schadcode von infizierten Websites. Erste Untersuchungen des Kryptominers durch chinesische Sicherheitsfirmen im Jahr 2018 blieben unvollständig, da "es bisher an Analysemethoden für Applescript-Scripts mangelt." Sentinelone hat nun einen Decompiler entwickelt, der erstmals eine tiefergehende Analyse des Übeltäters erlaubt.
Symptome, die auf Osaminer hindeuten können, sind etwa höhere CPU-Lasten als gewohnt oder unerklärliche System-Freezes. Der Schädling verbreitet sich laut Stokes primär über gecrackte Mac-Software, von Microsoft Office bis League of Legends. Run-only-Applescripts seien überraschend selten, aber wie das Beispiel zeige, stellen sie ein mächtiges Werkzeug seien in der MacOS-Malware-Welt überraschend selten, schliesst Stokes seine Ausführungen – aber sie stellten für Cyber-Kriminelle ein mächtiges Werkzeug zur Umgehung von Sicherheitsmechanismen und Abwehr von Analyseanstrengungen dar.
(ubi)