La technologie

Le mineur de crypto-monnaie caché dans AppleScript fonctionne depuis cinq ans

Un mineur de crypto-monnaie est caché depuis plus de cinq ans dans des versions piratées ou crackées d’Office, de League of Legends et d’autres logiciels Mac, distribuées aux communautés chinoises et Asie-Pacifique. Selon la découverte des chercheurs de SentinelOne, ce petit logiciel pompe les ressources du Mac pour «saper» les crypto-monnaies libres, non pas au profit de l’utilisateur bien sûr mais pour celui des voyous à l’origine.

Crédit: Carola68, Pixabay

Ce n’est pas la première fois que ce malware, appelé OSAMiner, apparaît. En août et septembre 2018, des chercheurs chinois avaient repéré le mineur caché, mais étaient incapables d’aller plus loin ou de déterminer de quoi ce logiciel intelligent était capable. Il faut dire que ça se cache assez bien: après avoir téléchargé un logiciel piraté, l’installateur récupère et lance un AppleScript en lecture seule, qui récupère et lance un deuxième AppleScript, qui récupère et lance un troisième AppleScript final (!).

Ce type d’attaque est très rare dans le petit monde des malwares Mac, explique Phil Stokes, l’un des découvreurs d’OSAMiner. ” Longévité et manque d’attention [portée sur ce malware], qui existe depuis au moins cinq ans, montre exactement à quel point les scripts AppleScript sont puissants pour éviter l’analyse [des chercheurs en sécurité] Il fait valoir.

Ces AppleScripts sont compilés, leur code source n’est pas lisible, ce qui complique la tâche des chercheurs en sécurité. Ceux de SentinelOne l’ont cependant fait et ont démontré la vraie nature d’OSAMiner, qui a évolué au fil des ans. Plus important encore, cette découverte permettra aux sociétés d’antivirus de mettre à jour leurs logiciels pour protéger les Mac des futures attaques de ce malware.

READ  pas de zone blanche, pas d'antenne

Cunégonde Lestrange

"Gourou de Twitter. Écrivain en herbe. Fauteur de troubles typique. Entrepreneur. Étudiant hipster."

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer
Fermer