macOS-зловред OSAMiner успешно скрывался пять лет с помощью AppleScript

Татьяна Никитина 13 Января 2021 - 15:13

...

macOS-зловред OSAMiner успешно скрывался пять лет с помощью AppleScript

Пользователи macOS как минимум пять лет подвергались атакам вредоносной программы OSAMiner, которая умело уклонялась от обнаружения, используя технологию AppleScript — набор связанных компонентов, позволяющих обеспечить взаимодействие между ОС и пользовательскими приложениями.

По данным SentinelOne, этот криптомайнер обычно распространяется под видом пиратских игр (к примеру, League of Legends) и кряков популярного софта — такого как Microsoft Office для macOS. Атаки OSAMiner в основном проводятся на территории Китая и других стран Азиатско-Тихоокеанского региона.

В 2018 году китайским аналитикам удалось заполучить пару образцов этого зловреда, однако, несмотря на все старания, они так и не смогли добраться до его исходников.

Проведенное в SentinelOne исследование позволило выяснить причину таких затруднений. Как оказалось, OSAMiner загружает свой код по частям, используя составные файлы AppleScript со статусом run-only. Опция run-only позволяет запускать управляющий сценарий AppleScript как приложение без входа в режим редактирования и скрыть, таким образом, его исходный код.

При установке заряженной OSAMiner пиратской программы зловредный инсталлятор загружает первичный AppleScript-сценарий и запускает его в режиме run-only. Тот, в свою очередь, загружает и запускает второй вредоносный скрипт, затем так же скачивается финальный AppleScript.

Вредоносные программы для macOS, по словам экспертов, редко используют AppleScript run-only, и производители защитных решений обычно не берут в расчет этот вектор атаки. Тем не менее, пример OSAMiner доказывает, что такая тактика может эффективно скрывать зловреда и от средств безопасности, и от зорких глаз аналитиков.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 10:39

Соответствие законодательству РФ Домашние пользователи Персональный VPN Анонимайзеры

На Госуслугах появится кнопка для жалоб на просьбы отключить VPN

На портале «Госуслуги» появится специальная кнопка, с помощью которой пользователи смогут пожаловаться на всплывающее сообщение с просьбой отключить VPN, даже если VPN у них не используется. Об этом сообщило Минцифры в своём канале в мессенджере «Максе».

В министерстве отметили, что такая кнопка появится «в ближайшее время». Она должна помочь пользователям быстрее сообщать о случаях, когда сервис ошибочно определяет подключение как VPN-соединение и ограничивает доступ.

Также в Минцифры заявили, что большинство российских сервисов ограничивают доступ для пользователей с включённым VPN. Если предупреждение об установленном VPN появляется ошибочно, ведомство советует обращаться в поддержку конкретного сервиса.

По версии Минцифры, ограничения вводятся для защиты данных, которые пользователи вводят на сайтах и в приложениях. В министерстве считают, что многие VPN-сервисы не обеспечивают должную защиту конфиденциальности и персональных данных, а злоумышленники могут использовать их для перехвата трафика и информации.

Таким образом, новая кнопка на «Госуслугах» должна стать способом быстро сообщать о ложных срабатываниях. Особенно это может быть полезно тем, кто находится за границей или сталкивается с ограничениями доступа без фактического использования VPN.

Напомним, ранее в Роскомнадзоре заявили, что корпоративный VPN внутри России пока никто не отменяет. По данным ведомства на 22 апреля 2026 года, использование VPN российскими компаниями для внутренних рабочих задач не ограничивается.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!