GIMMICK Malware
En tidligere ukendt malware rettet mod macOS-enheder er blevet afsløret af infosec-forskere. Sporet som GIMMICK malware, er truslen blevet tilskrevet at være en del af det ondsindede arsenal af en kinesisk cyberespionagegruppe kendt som Storm Cloud. Detaljer om truslen blev offentliggjort i en rapport fra forskere, som var i stand til at udtrække malware fra RAM'en på en MacBook Pro-enhed. Det anslås, at enheden blev inficeret som en del af en spionagekampagne, der fandt sted i slutningen af 2021.
Tekniske detaljer
GIMMICK malware er en trussel på flere platforme. Dens macOS-varianter er skrevet ved hjælp af Objective C, mens de Windows-målrettede er oprettet ved hjælp af .NET og Delphi. På trods af tilstedeværelsen af visse kodeforskelle udviser alle varianter de samme adfærdsmønstre, Command-and-Control (C2, C&C) infrastruktur og filstier. Det skal også bemærkes, at malwaren i høj grad misbruger Google Drevs tjenester.
Efter at være blevet implementeret på de målrettede systemer, indlæser GIMMICK tre separate malware-komponenter - DriveManager, FileManager og GCDTimerManager. Navnene på komponenterne afspejler deres opgaver og funktionaliteter. FileManager styrer den lokale mappe, der indeholder C2-oplysningerne og de data, der er relateret til kommandoopgaverne. GCDTimerManger overvåger administrationen af de nødvendige GCD-objekter. DriveManager er på den anden side ansvarlig for de forskellige Google Drive-relaterede handlinger. Mere specifikt administrerer den Google Drev- og prox-sessionerne, vedligeholder et lokalt kort over det specifikke Google Drev-biblioteks hierarki, håndterer alle download- og uploadopgaver via Google Drev-sessionen og mere.
Truende kommandoer
Ifølge forskerne kræver den asynkrone karakter af hele GIMMICK malware-operationen en trinvis tilgang til kommandoudførelse. Disse kommandoer sendes til systemet i AES-krypteret form og er syv i alt. Trusselsaktøren kan instruere malwaren til at transmittere basissysteminformation om den brudte enhed, uploade filer til C2-servere eller downloade valgte filer til det inficerede system, udføre shell-kommandoer og mere.
