Scripts de Apple

Es un lenguaje de script utilizado para la automatización de tareas interactuando con procesos remotos. Facilita solicitar a otros procesos que realicen algunas acciones. El malware puede abusar de estas funciones para explotar las funciones exportadas por otros procesos. Por ejemplo, un malware podría inyectar código JS arbitrario en las páginas abiertas del navegador. O hacer clic automáticamente en algunos permisos solicitados al usuario.

tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
end tell

Aquí tienes algunos ejemplos: https://github.com/abbeycode/AppleScripts Encuentra más información sobre malware que utiliza AppleScripts aquí.

Los scripts de Apple pueden ser fácilmente "compilados". Estas versiones pueden ser fácilmente "descompiladas" con osadecompile

Sin embargo, estos scripts también pueden ser exportados como "Solo lectura" (a través de la opción "Exportar..."):

``` file mal.scpt mal.scpt: AppleScript compiled ``` En este caso, el contenido no se puede descompilar incluso con `osadecompile`.

Sin embargo, todavía hay algunas herramientas que se pueden utilizar para entender este tipo de ejecutables, lee esta investigación para más información). La herramienta applescript-disassembler con aevt_decompile será muy útil para entender cómo funciona el script.