Un mineur de cryptomonnaie planqué dans des AppleScript tourne depuis cinq ans

Mickaël Bazoge |

Un mineur de cryptomonnaie se cachait depuis plus de cinq ans dans des versions piratées ou craquées d'Office, de League of Legends et d'autres logiciels pour Mac, distribuées auprès des communautés chinoises et d'Asie-Pacifique. Selon la découverte des chercheurs de SentinelOne, ce petit logiciel pompe les ressources du Mac pour « miner » de la crypto en loucedé, pas au bénéfice de l'utilisateur bien sûr mais de celui des malandrins à son origine.

Crédit : Carola68, Pixabay

Ce n'est pas la première fois que ce malware, baptisé OSAMiner, fait son apparition. En août et septembre 2018, des chercheurs chinois avaient repéré le mineur caché, mais sans pouvoir aller plus loin ni déterminer de quoi était capable ce logiciel malin. Il faut dire qu'il se planque plutôt bien : après le téléchargement des logiciels piratés, l'installeur récupère et lance un AppleScript en lecture seule, qui récupère et lance un second AppleScript, qui récupère et lance un troisième AppleScript final (!).

Ce type d'attaque est très rare dans le petit monde des malwares Mac, explique Phil Stokes, un des découvreurs d'OSAMiner. « La longévité et le manque d'attention [portée sur ce malware], qui est dans la nature depuis au moins cinq ans, montrent exactement à quel point les scripts AppleScript sont puissants pour échapper aux analyses [des chercheurs en sécurité] », soutient-il.

Ces AppleScript étant compilés, leur code source n'est pas lisible ce qui complique la tâche des chercheurs en sécurité. Ceux de SentinelOne y sont pourtant parvenus et ont démontré la vraie nature d'OSAMiner, qui a évolué avec les années. Surtout, cette découverte va permettre aux éditeurs d'antivirus de mettre à jour leurs logiciels afin de protéger les Mac de futures attaques de ce malware.

Source
Tags
avatar fousfous | 

Et sinon y a pas juste moyen de bloquer l'exécution d'Apple script sur Mac?
Parce que ça semble être une belle faille de sécurité d'avoir des scripts qui fonctionnent tranquillement.

avatar BeePotato | 

@ fousfous : « Et sinon y a pas juste moyen de bloquer l'exécution d'Apple script sur Mac?
Parce que ça semble être une belle faille de sécurité d'avoir des scripts qui fonctionnent tranquillement. »

D’après l’article, il s’agit de scripts compilés. Ils sont donc exécutés comme serait exécuté n’importe quel autre logiciel. Le fait qu’ils aient été écrits en AppleScript est assez anecdotique.

avatar CNNN | 

Question bête ça sert à quoi de liner de la cryptomonnaie ?

avatar apple78310 | 

@CNNN

Si tu « découvres » un bitcoin (ou autre), il est à toi

avatar LolYangccool | 

@apple78310

Hum non. Quand tu mines du bitcoin, par exemple, le bitcoin n'est pas directement à toi, mais tu perçois une « récompense » financière en échange de ta contribution à la blockchain.

avatar Tetaroide Bleu | 

@CNNN

"Miner", c'est le terme utilisé pour obtenir de la cryptomonnaie à l'aide d'un appareil, en utilisant sa puissance de calcul (plutôt que d'en acheter contre de l'argent réel)

avatar LoydD | 

@CNNN

Miner = créer. Et cela grâce aux ressources du mac, utilisées pour faire des calculs très complexes sur de longues durées.
En somme, c’est comme aller chercher du minerai se trouvant à de grandes profondeurs. Il faut du matériel (puissance de l’ordinateur) et de l’énergie (Electricité consommée lors des calculs).

avatar SIMOMAX1512 | 

@LoydD

Et ça coûte tellement cher de le faire que ce n’est pas très rentable pour quelqu’un d’honnête , mais un pirate qui se sert de milliers d’ordinateur pour le faire ça peut lui rapporter car le minage lui coûte 0.

avatar scanmb | 

« Loucedé: » excellent !!

avatar Khrys | 

"Loucedé"

Kezako?

avatar reborn | 

@Khrys

En scred

avatar Khrys | 

@reborn

De quoi ça?

Les d'jeuns, votre "langage", ou dialecte, est incompréhensible! 😄

avatar reborn | 

@Khrys

En secret 😄

avatar vince29 | 
avatar John McClane | 

@vince29

Excellent, merci ☺️

avatar jb07 | 

Loucedé = en douce.

avatar Khrys | 

@jb07

Merci pour la traduction! 😅
Ce n'est même pas du verlan!

avatar Sokö | 

@Khrys

Non, pas du verlan, c’est du louchébem

avatar zoubi2 | 

@Khrys

"Loucedé"... C'est du "louchebem" ou assimilé. Une manière de parler inventée par les forts de halles (bouchers) pour ne pas être compris par les autres, un peu comme le verlan au départ. Un peu aussi comme le javanais en un peu plus compliqué.

"boucher". Prenez la première lettre, remplacez-la par un "l", placez-la à la fin et ajoutez (ou retranchez) un son. boucher ==> louchebem.

Comme flic ==> cfli ==> keufli ==> keuf en verlan.

Donc en louchebem : en douce ==> en loucedé.

Edit. C'est pas jeun's du tout, c'est même plutôt vieux ! Je soupçonne @jb07 d'avoir un certain âge... :-)

avatar Khrys | 

@zoubi2

"C'est pas jeun's du tout, c'est même plutôt vieux ! Je soupçonne @jb07 d'avoir un certain âge..."

J'en ai 48, et "loucedé" m'est inconnu!
Au final, je ne suis donc pas aussi vieux que je ne le pensais! 😅

avatar Tenas | 

@zoubi2

Ba moi Je ne savais et depuis très longtemps, C’est sûr que si t’habites à la campagne on utilise pas trop ce terme là, maintenant en habitants en banlieue parisienne c’est très courant Même si je n’y suis plus depuis six ans mais les souvenirs restent et persiste

avatar weagt | 

@Khrys

En douce, C'est pourtant une expression bien connue et même pas québécoise pour le coup...
A moins que ce soit une expression bien connue que pour les plus de trente ans...

Edit, je n'avais pas vu votre âge dans votre dernier commentaire...

avatar zoubi2 | 

@weagt

Franchement, je ne crois pas que "en loucedé" soit tellement employé par nos petits jeunes ! C'est vraiment de l'argot parigo de la première moitié du XXème siècle, voire un peu plus tard (pas beaucoup) dans les romans série noire de Auguste Lebreton et les films du genre "touchez pas au grisbi" ou "du rififi chez les hommes".

avatar koko256 | 

D'un autre côté, les asic étant 1 million de fois plus rapide que les cpu, pas sûr que le malandrin n'ait gagné grand chose...

avatar MarcMame | 

Tant que ça se passe dans des versions craquées de logiciels, on peut imaginer que le risque en vaut la chandelle, c’est le prix à payer.
Beaucoup plus embêtant si c’est un logiciel à la distribution légitime.

Pages

CONNEXION UTILISATEUR