Лицензи за множество устройства (Отстъпки за количество)
Threat Database Mac Malware Злонамерен софтуер GIMMICK

Злонамерен софтуер GIMMICK

До Mezo през Mac Malwareг
Превод на:
български език

Неизвестен досега зловреден софтуер, насочен към устройства с macOS, е разкрит от изследователи на infosec. Проследявана като злонамерен софтуер GIMMICK, заплахата се приписва на това, че е част от злонамерения арсенал на китайска група за кибершпионаж, известна като Storm Cloud . Подробности за заплахата бяха публикувани в доклад на изследователи, които успяха да извлекат зловредния софтуер от RAM паметта на MacBook Pro устройство. Смята се, че устройството е било заразено като част от шпионска кампания, проведена в края на 2021 г.

Технически подробности

Зловредният софтуер GIMMICK е мултиплатформена заплаха. Неговите варианти на macOS са написани с помощта на Objective C, докато насочените към Windows са създадени с помощта на .NET и Delphi. Въпреки наличието на определени разлики в кода, всички варианти показват едни и същи модели на поведение, инфраструктура за командване и управление (C2, C&C) и пътеки на файлове. Трябва също да се отбележи, че злонамереният софтуер злоупотребява силно с услугите на Google Drive.

След като бъде внедрен в целевите системи, GIMMICK зарежда три отделни компонента на зловреден софтуер - DriveManager, FileManager и GCDTimerManager. Имената на компонентите отразяват техните задачи и функционалности. FileManager управлява локалната директория, съдържаща информацията C2 и данните, свързани с командните задачи. GCDTimerManger наблюдава управлението на необходимите GCD обекти. DriveManager, от друга страна, отговаря за различните действия, свързани с Google Drive. По-конкретно, той управлява сесиите на Google Drive и prox, поддържа локална карта на йерархията на конкретната директория на Google Drive, обработва всякакви задачи за изтегляне и качване чрез сесията на Google Drive и др.

Заплашителни команди

Според изследователите, асинхронният характер на цялата операция със зловреден софтуер GIMMICK изисква поетапен подход за изпълнение на команди. Тези команди се предават към системата в AES-криптирана форма и са общо седем. Действащото лице на заплахата може да инструктира злонамерения софтуер да предава основна системна информация за взломаното устройство, да качва файлове на C2 сървърите или да изтегля избрани файлове в заразената система, да изпълнява команди на обвивката и др.

Тенденция

Най-гледан

Зареждане...