หน้าแรก Internet of Things Cryptocurrency มัลแวร์บนแมคใช้ AppleScript แบบ “run-only” เพื่อหลบเลี่ยงการตรวจจับ

มัลแวร์บนแมคใช้ AppleScript แบบ “run-only” เพื่อหลบเลี่ยงการตรวจจับ

แบ่งปัน

พบขบวนการแอบขุดเหมืองเงินคริปโตที่เล็งเหยื่อเครื่อง macOS โดยใช้มัลแวร์ที่พัฒนาขึ้นมาอย่างซับซ้อนจนบรรดานักวิจัยนำมาตรวจวิเคราะห์ได้ยาก มัลแวร์นี้ใช้ชื่อว่า OSAMiner พบการระบาดครั้งแรกอย่างน้อยตั้งแต่ปี 2015

แต่การวิเคราะห์นั้นทำได้ยากมากเนื่องจากส่วนเปย์โหลดถูกเอ็กซ์พอร์ตมาในรูปไฟล์ AppleScript แบบ Run-only ทำให้ยากลำบากมากต่อการดีคอมไพล์ย้อนกลับออกมาเป็นซอร์สโค้ด โดยเฉพาะสายพันธุ์ที่ถูกค้นพบเมื่อเร็วๆ นี้

Advertisement

ซึ่งมีการฝัง AppleScript แบบ Run-only เข้าไปในสคริปต์อื่น แล้วใช้ URL ของหน้าเว็บสาธารณะเพื่อดาวน์โหลดตัวขุดเหมือง Monero อีกทอดหนึ่ง ทำให้การวิเคราะห์ทำได้ยากขึ้นไปอีก ทั้งนี้ตัวมัลแวร์ OSAMiner ดังกล่าวโดยทั่วไปแล้วแพร่เชื้อผ่านซอฟต์แวร์ปลอม

ไม่ว่าจะเป็นทั้งเกมส์และซอฟต์แวร์ใช้งานปกติ ตัวอย่างเช่น League of Legends และ Microsoft Office for macOS เป็นต้น การที่อยู่ในรูปไฟล์ AppleScript ทำให้ตรวจสอบหรือสังเกตพฤติกรรมการทำงานของมัลแวร์ได้อย่างจำกัด

ที่มา : Bleepingcomputer