五年多来，macOS用户一直是一个鬼鬼祟祟的恶意软件操作的目标，该操作使用巧妙的伎俩来避免被发现，并劫持受感染用户的硬件资源，在他们背后挖掘加密货币。

名为OSAMiner，安全公司SentinelOne在本周发布的一份报告中说，至少从2015年起，这些恶意软件就伪装成盗版（破解）游戏和软件（如League of Legends和Microsoft Office for Mac）在野外传播。

“OSAMiner已经活跃了很长一段时间，最近几个月已经有所发展，“一位SentinelOne发言人在周一的一次电子邮件采访中告诉ZDNet，

“从我们掌握的数据来看，它似乎主要针对中国/亚太地区的社区，”这位发言人补充道。

嵌套的run only AppleScripts，为了胜利！

但加密矿工并没有完全被忽视。SentinelOne说，两家中国安全公司发现并分析了OSAMiner的旧版本https://www.codetd.com/article/2819752“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>八月和分别于2018年9月。

但SentinelOne macOS恶意软件研究人员Phil Stokes昨日表示，他们的报告只触及了OSAMiner的能力的表面。

主要原因是安全研究人员当时无法检索到恶意软件的全部代码，它使用嵌套的只运行的AppleScript文件在不同的阶段检索恶意代码。

当用户安装盗版软件时，陷阱安装程序将下载并运行只运行的AppleScript，它将下载并运行第二个只运行的AppleScript，最后一个第三个只运行AppleScript。

由于“只运行”AppleScript处于编译状态，源代码不可读，这使得安全研究人员更难进行分析。

昨天，Stokes公布了这次攻击的完整链，以及过去和新奥萨明战役的妥协指标（IOC）。Stokes和SentinelOne团队希望，通过最终破解围绕这一活动的谜团并发布IOC，其他macOS安全软件提供商现在能够检测到OSAMiner攻击并帮助保护macOS用户。

“仅运行的AppleScripts在macOS恶意软件世界中出人意料地罕见，但无论是长寿还是缺乏重视macOS.OSAMiner公司斯托克斯在昨天的报告中总结道：“这场运动可能已经进行了至少5年，它确切地显示了纯运行的AppleScripts在规避和反分析方面有多么强大。”，我们还没有看到演员使用我们在别处讨论过的AppleScript的任何更强大的功能[1，2]，但这是一个攻击向量，它仍然是开放的，并且许多防御工具没有被处理。“

CES2021:英特尔在硅级别增加了勒索软件检测功能

Microsoft Sysmon通过注册添加了对检测进程Herpaderping攻击的支持，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof