GIMMICK Malware

Výzkumníci společnosti Infosec odhalili dříve neznámý malware zaměřený na zařízení macOS. Hrozba, sledovaná jako GIMMICK malware, byla přisuzována tomu, že je součástí škodlivého arzenálu čínské kyberšpionážní skupiny známé jako Storm Cloud . Podrobnosti o hrozbě byly zveřejněny ve zprávě výzkumníků, kterým se podařilo extrahovat malware z paměti RAM zařízení MacBook Pro. Odhaduje se, že zařízení bylo infikováno v rámci špionážní kampaně, která proběhla koncem roku 2021.

Technické údaje

Malware GIMMICK je multiplatformní hrozba. Jeho varianty pro macOS jsou napsány pomocí Objective C, zatímco ty, které cílí na Windows, jsou vytvořeny pomocí .NET a Delphi. Navzdory přítomnosti určitých rozdílů v kódu vykazují všechny varianty stejné vzorce chování, infrastrukturu Command-and-Control (C2, C&C) a cesty k souborům. Je třeba také poznamenat, že malware silně zneužívá služby Disku Google.

Po nasazení na cílové systémy GIMMICK načte tři samostatné součásti malwaru – DriveManager, FileManager a GCDTimerManager. Názvy komponent odrážejí jejich úkoly a funkce. FileManager řídí místní adresář obsahující informace C2 a data související s úlohami příkazů. GCDTimerManger dohlíží na správu potřebných objektů GCD. DriveManager je na druhé straně zodpovědný za různé akce související s Diskem Google. Konkrétněji spravuje relace Disku Google a proxy, spravuje místní mapu konkrétní hierarchie adresáře Disku Google, zpracovává veškeré úlohy stahování a nahrávání prostřednictvím relace Disku Google a další.

Výhrůžné příkazy

Podle výzkumníků asynchronní povaha celé operace malwaru GIMMICK vyžaduje postupný přístup k provádění příkazů. Tyto příkazy jsou přenášeny do systému v šifrované podobě AES a je jich celkem sedm. Aktér hrozby může nařídit malwaru, aby přenesl základní systémové informace o napadeném zařízení, nahrál soubory na servery C2 nebo stáhl vybrané soubory do infikovaného systému, provedl příkazy shellu a další.