Apple Scripts

È un linguaggio di scripting utilizzato per l'automazione di compiti interagendo con processi remoti. Rende piuttosto facile chiedere ad altri processi di eseguire determinate azioni. Malware potrebbe sfruttare queste funzionalità per abusare delle funzioni esportate da altri processi. Ad esempio, un malware potrebbe iniettare codice JS arbitrario nelle pagine aperte del browser. O fare clic automaticamente su alcune autorizzazioni richieste all'utente;

tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
end tell

Ecco alcuni esempi: https://github.com/abbeycode/AppleScripts Trova ulteriori informazioni sui malware che utilizzano gli AppleScripts qui.

Gli AppleScripts possono essere facilmente "compilati". Queste versioni possono essere facilmente "decompilate" con osadecompile.

Tuttavia, questi script possono anche essere esportati come "sola lettura" (tramite l'opzione "Esporta..."):

``` file mal.scpt mal.scpt: AppleScript compiled ``` E in questo caso il contenuto non può essere decompilato nemmeno con `osadecompile`.

Tuttavia, ci sono ancora alcuni strumenti che possono essere utilizzati per comprendere questo tipo di eseguibili, leggi questa ricerca per ulteriori informazioni). Lo strumento applescript-disassembler con aevt_decompile sarà molto utile per capire come funziona lo script.