Scripts Apple

Il s'agit d'un langage de script utilisé pour l'automatisation des tâches interagissant avec des processus distants. Il facilite la demande à d'autres processus d'effectuer certaines actions. Les logiciels malveillants peuvent exploiter ces fonctionnalités pour abuser des fonctions exportées par d'autres processus. Par exemple, un logiciel malveillant pourrait injecter du code JS arbitraire dans les pages ouvertes du navigateur. Ou cliquer automatiquement sur certaines autorisations demandées à l'utilisateur ;

tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
end tell

Voici quelques exemples: https://github.com/abbeycode/AppleScripts Trouvez plus d'informations sur les logiciels malveillants utilisant des scripts Apple ici.

Les scripts Apple peuvent être facilement "compilés". Ces versions peuvent être facilement "décompilées" avec osadecompile

Cependant, ces scripts peuvent également être exportés en mode "Lecture seule" (via l'option "Exporter..."):

``` file mal.scpt mal.scpt: AppleScript compiled ``` et dans ce cas, le contenu ne peut pas être décompilé même avec `osadecompile`

Cependant, il existe encore des outils qui peuvent être utilisés pour comprendre ce type d'exécutables, lisez cette recherche pour plus d'informations). L'outil applescript-disassembler avec aevt_decompile sera très utile pour comprendre comment le script fonctionne.