# macOS.OSAMiner > Tipo: **malware** · S1048 · [MITRE ATT&CK](https://attack.mitre.org/software/S1048) ## Descrição [[s1048-macososaminer|macOS.OSAMiner]] é um trojan de mineração de Monero para macOS que evadiu análise completa por aproximadamente cinco anos graças a uma técnica inovadora de ofuscação: incorporar um AppleScript somente de execução (run-only) dentro de outro AppleScript run-only, tornando a descompilação extremamente difícil com as ferramentas disponíveis à época. O malware foi observado pela primeira vez em 2018, mas evidências sugerem circulação desde pelo menos 2015, distribuído majoritariamente por meio de software pirata como League of Legends, Microsoft Office e Final Cut Pro em fontes não-oficiais. O macOS.OSAMiner usa AppleScript ([[t1059-002-applescript|T1059.002]]) como linguagem principal de execução, aproveitando a natureza interpretada e as capacidades de automação do macOS. O malware transfere componentes adicionais via [[t1105-ingress-tool-transfer|T1105]], persiste via Launch Agent ([[t1543-001-launch-agent|T1543.001]]) e usa Launchctl ([[t1569-001-launchctl|T1569.001]]) para iniciar serviços. Payloads embarcados ([[t1027-009-embedded-payloads|T1027.009]]) e stripped ([[t1027-008-stripped-payloads|T1027.008]]) dificultam análise estática. O malware desabilita ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]) e realiza verificações de sistema ([[t1497-001-system-checks|T1497.001]]) para detectar ambientes de análise. A longevidade do macOS.OSAMiner demonstra a eficácia de técnicas de ofuscação específicas para plataformas, especialmente quando as ferramentas de análise da comunidade de segurança ficam atrás das inovações dos autores de malware. Usuários de macOS no Brasil que baixam software pirata de fontes não-oficiais permanecem expostos a esta e outras famílias similares. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1027-008-stripped-payloads|T1027.008 - Stripped Payloads]] - [[t1027-009-embedded-payloads|T1027.009 - Embedded Payloads]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1569-001-launchctl|T1569.001 - Launchctl]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1059-002-applescript|T1059.002 - AppleScript]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar execução de AppleScript run-only files em contextos incomuns - o macOS.OSAMiner usa AppleScript compilado como ofuscação principal. - **[[ds-0015-application-log|Application Log Content]]** - Detectar alta utilização de CPU persistente em macOS combinada com processos de script em background sem interação do usuário - padrão de cryptomining. - **[[ds-0022-file|File Creation]]** - Alertar para instalação de Launch Agents em `~/Library/LaunchAgents/` por instaladores de software sem assinatura válida da App Store ou de desenvolvedores verificados. ```sigma title: macOS.OSAMiner Cryptomining via AppleScript status: experimental logsource: category: process_creation product: macos detection: selection: Image: '/usr/bin/osascript' CommandLine|contains: '.scpt' ParentImage|contains: - '/Applications/' - '/Users/' condition: selection falsepositives: - Legitimaté AppleScript automation level: medium tags: - attack.impact - attack.t1496.001 - code/distill ``` ## Relevância LATAM/Brasil O crescimento da base de usuários de macOS no Brasil - especialmente em setores de tecnologia, criação de conteúdo e mercado financeiro - expande a superfície de ataque para malwares como o macOS.OSAMiner. A prática de buscar software premium (Final Cut Pro, Office for Mac, Logic Pro) em fontes não-oficiais é comum no Brasil, representando o principal vetor de distribuição desta ameaça. ## Referências - [MITRE ATT&CK - S1048](https://attack.mitre.org/software/S1048) - [SentinelOne - macOS.OSAMiner Analysis](https://www.sentinelone.com/labs/teaching-an-old-miner-new-tricks-cryptomining-macos-malware-report/)