برنامج GIMMICK الخبيث

اكتشف باحثو إنفوسيك برنامجًا ضارًا غير معروف سابقًا يستهدف أجهزة macOS. تم تتبع هذا التهديد باعتباره برنامجًا ضارًا لـ GIMMICK ، وقد تم إرجاعه إلى كونه جزءًا من الترسانة الخبيثة لمجموعة التجسس الإلكتروني الصينية المعروفة باسم Storm Cloud . تم نشر تفاصيل حول التهديد في تقرير للباحثين ، الذين تمكنوا من استخراج البرامج الضارة من ذاكرة الوصول العشوائي لجهاز MacBook Pro. وتشير التقديرات إلى أن الجهاز أصيب في إطار حملة تجسس جرت أواخر عام 2021.

تفاصيل تقنية

تمثل البرامج الضارة GIMMICK تهديدًا متعدد المنصات. تمت كتابة متغيرات macOS الخاصة به باستخدام Objective C بينما يتم إنشاء متغيرات استهداف Windows باستخدام .NET و Delphi. على الرغم من وجود اختلافات معينة في التعليمات البرمجية ، فإن جميع المتغيرات تظهر نفس الأنماط السلوكية ، والبنية التحتية للقيادة والتحكم (C2 ، C&C) ومسارات الملفات. وتجدر الإشارة أيضًا إلى أن البرامج الضارة تسيء استخدام خدمات Google Drive بشكل كبير.

بعد نشره على الأنظمة المستهدفة ، يقوم GIMMICK بتحميل ثلاثة مكونات منفصلة للبرامج الضارة - DriveManager و FileManager و GCDTimerManager. تعكس أسماء المكونات مهامها ووظائفها. يتحكم FileManager في الدليل المحلي الذي يحتوي على معلومات C2 والبيانات المتعلقة بمهام الأوامر. يشرف GCDTimerManger على إدارة كائنات GCD المطلوبة. DriveManager ، من ناحية أخرى ، مسؤول عن مختلف الإجراءات المتعلقة بـ Google Drive. وبشكل أكثر تحديدًا ، فهو يدير جلسات Google Drive والوكيل ، ويحافظ على خريطة محلية للتسلسل الهرمي لدليل Google Drive المحدد ، ويتعامل مع أي مهام تنزيل وتحميل عبر جلسة Google Drive ، والمزيد.

أوامر التهديد

وفقًا للباحثين ، فإن الطبيعة غير المتزامنة لعملية البرامج الضارة GIMMICK بأكملها تتطلب نهجًا مرحليًا لتنفيذ الأوامر. يتم إرسال هذه الأوامر إلى النظام في شكل مشفر AES وهي سبعة في المجموع. يمكن لممثل التهديد أن يوجه البرنامج الضار إلى إرسال معلومات النظام الأساسية حول الجهاز المخترق ، أو تحميل الملفات إلى خوادم C2 أو تنزيل الملفات المختارة إلى النظام المصاب ، وتنفيذ أوامر shell والمزيد.