Nueva herramienta arroja luz sobre el malware ofuscado por AppleScript



El descompilador AEVT ayudó a los investigadores a analizar una campaña de criptomineros que utilizaba AppleScript para la ofuscación y ayudará a los ingenieros inversos centrados en otro malware de Mac OS.

Un esfuerzo por realizar ingeniería inversa de AppleScript malicioso ha llevado a la creación de una herramienta para analizar el malware de solo ejecución dirigido al sistema operativo Mac, lo que socava un enfoque común de atacantes para ofuscar el código en la plataforma.

La empresa de ciberseguridad SentinelOne creó la herramienta, conocida como descompilador de eventos de Apple (AEVT), para analizar una campaña de criptomineros que utilizaba AppleScript para automatizar cuatro etapas diferentes de la cadena de infección: un agente de persistencia, un script principal, un script de anti-análisis y un script de configuración. Los AppleScripts utilizados para automatizar cada tarea se compilaron como código de solo ejecución, lo que elimina gran parte de las señales contextuales utilizadas por el análisis estático, afirma el análisis de SentinelOne.

La falta de experiencia defensiva para lidiar con AppleScript malicioso ha permitido a los atacantes usarlo sin el rechazo de los defensores, dice Phil Stokes, investigador de amenazas de la compañía.

«Aunque este minero se vio en el pasado, prácticamente no recibió atención, y eso se debió en gran parte a que los investigadores no pudieron realizar un análisis estático», dice. «Desde entonces, el malware ha seguido infectando y desarrollándose sin obstáculos».

Si bien los usuarios de Mac se han encontrado con más amenazas por dispositivo que los usuarios de Windows en el último año, casi todos los ataques son adware o un programa potencialmente no deseado, como un criptominer. Sin embargo, AppleScript ordinario es cada vez más utilizado por malware dirigido a MacOS, y AppleScript compilado solo para ejecución se está volviendo más preferred, SentinelOne declaró en su análisis, Publicado hoy.

Los atacantes dirigidos a desarrolladores de Mac, por ejemplo, utilizaron AppleScript de solo ejecución en el Malware XCSSET que utilizó proyectos de Trojan Xcode para comprometer los sistemas de los desarrolladores. Otra familia de malware, GravityRAT, usó AppleScript como parte de su cadena de infección, pero no lo compila como solo de ejecución, dice Stokes.

OSAMiner, el programa analizado por los investigadores de SentinelOne que utilizan el nuevo descompilador AEVT, probablemente ha pasado desapercibido debido a su capacidad para evadir el análisis utilizando AppleScripts de solo ejecución, dice. Es possible que la campaña OSAMiner haya existido durante al menos cinco años, dice.

«A finales de 2020, descubrimos que los autores de malware, presumiblemente basándose en su anterior éxito en eludir el análisis completo, habían seguido desarrollando y evolucionando sus técnicas», declararon los investigadores de SentinelOne en la publicación del website. «Las versiones recientes de macOS.OSAMiner agregan mayor complejidad al incrustar un AppleScript de solo ejecución dentro de otro, lo que complica aún más el ya difícil proceso de análisis».

Con casi tres décadas de antigüedad, AppleScript es anterior al cambio de Apple a un sistema operativo very similar a Unix que sustenta el Mac OS moderno. El lenguaje de secuencias de comandos permite a los programas automatizar tareas en el sistema operativo utilizando un lenguaje más natural, pero la sintaxis resultante suele ser complicada y poco intuitiva.

Cuando se compila en un programa de solo ejecución, AppleScript elimina el código fuente y la información sobre las variables, en lugar de eso, solo mantiene los tokens internos utilizados por el programa, lo que da como resultado un código ofuscado. Aunque AppleScript no es comúnmente utilizado por los programadores, los actores de amenazas lo han adoptado cada vez más para automatizar cadenas de ataque en Mac OS, dice Stokes.

«Resulta que la automatización de la comunicación entre aplicaciones y eludir la interacción del usuario es una bendición para los autores de malware», afirmó en una publicación de weblog en marzo. «¿Qué podría ser más útil que adaptar aplicaciones populares como clientes de correo electrónico, navegadores world-wide-web y la suite de Microsoft Business office a su voluntad sin necesidad de involucrar al usuario, también conocido como, en este escenario, la víctima?»

La herramienta de SentinelOne se basa en un proyecto anterior creado por un desarrollador de Corea del Sur, que creó un desensamblador de Python después de aplicar ingeniería inversa al binario de AppleScript. Las herramientas de la empresa toman el código desensamblado y lo traducen al código fuente AppleScript para facilitar la lectura.

La creación de una herramienta para hacer que AppleScript sea más analizable debería permitir a los ingenieros inversos e investigadores de malware obtener más información sobre lo que están haciendo los atacantes, dice Stokes de SentinelOne.

«Hemos logrado un progreso significativo superando ese obstáculo, no solo para este malware, sino también para cualquier malware AS que se ejecute en el futuro, y ese es el valor principal de lo que estamos publicando hoy», dice. «Será mucho más difícil para los actores que quieren esconderse detrás de AppleScripts de solo ejecución ocultar su código a los analistas de ahora en adelante».

Los atacantes continúan encontrando formas de sortear las medidas de seguridad de Apple, sin embargo, solo harán el trabajo necesario para comprometer un sistema, dice Stokes.

«Los actores de amenazas están respondiendo claramente a los intentos de Apple de bloquear la Mac», dice. «Pero en comparación con el malware de Home windows, y en comparación con lo que se puede hacer en una Mac pero no se ve en la naturaleza, el malware de Mac sigue siendo tan sofisticado como debe ser para funcionar y no tan sofisticado como podría ser».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading through, MIT&#39s Technology Review, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial