Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Mac Malware Κακόβουλο λογισμικό GIMMICK

Κακόβουλο λογισμικό GIMMICK

Μέχρι το Mezo το Mac Malware
Μετάφραση σε:
Ελληνικά

Ένα άγνωστο μέχρι τώρα κακόβουλο λογισμικό που στοχεύει συσκευές macOS αποκαλύφθηκε από ερευνητές της infosec. Παρακολούθηση ως κακόβουλο λογισμικό GIMMICK, η απειλή έχει αποδοθεί στο ότι αποτελεί μέρος του κακόβουλου οπλοστασίου μιας κινεζικής ομάδας κυβερνοκατασκοπείας γνωστής ως Storm Cloud . Λεπτομέρειες σχετικά με την απειλή δημοσιεύτηκαν σε έκθεση ερευνητών, οι οποίοι κατάφεραν να εξαγάγουν το κακόβουλο λογισμικό από τη μνήμη RAM μιας συσκευής MacBook Pro. Εκτιμάται ότι η συσκευή μολύνθηκε ως μέρος μιας εκστρατείας κατασκοπείας που έλαβε χώρα στα τέλη του 2021.

Τεχνικές λεπτομέρειες

Το κακόβουλο λογισμικό GIMMICK είναι μια απειλή πολλαπλών πλατφορμών. Οι παραλλαγές του macOS έχουν γραφτεί χρησιμοποιώντας το Objective C, ενώ οι παραλλαγές που στοχεύουν τα Windows δημιουργούνται χρησιμοποιώντας .NET και Delphi. Παρά την παρουσία ορισμένων διαφορών στον κώδικα, όλες οι παραλλαγές εμφανίζουν τα ίδια μοτίβα συμπεριφοράς, την υποδομή Command-and-Control (C2, C&C) και τις ίδιες διαδρομές αρχείων. Θα πρέπει επίσης να σημειωθεί ότι το κακόβουλο λογισμικό καταχράται σε μεγάλο βαθμό τις υπηρεσίες του Google Drive.

Αφού αναπτυχθεί στα στοχευμένα συστήματα, το GIMMICK φορτώνει τρία ξεχωριστά στοιχεία κακόβουλου λογισμικού - το DriveManager, το FileManager και το GCDTimerManager. Τα ονόματα των εξαρτημάτων αντικατοπτρίζουν τις εργασίες και τις λειτουργίες τους. Το FileManager διέπει τον τοπικό κατάλογο που περιέχει τις πληροφορίες C2 και τα δεδομένα που σχετίζονται με τις εργασίες εντολών. Το GCDTimerManger επιβλέπει τη διαχείριση των απαραίτητων αντικειμένων GCD. Το DriveManager, από την άλλη πλευρά, είναι υπεύθυνο για τις διάφορες ενέργειες που σχετίζονται με το Google Drive. Πιο συγκεκριμένα, διαχειρίζεται τις συνεδρίες Google Drive και prox, διατηρεί έναν τοπικό χάρτη της ιεραρχίας του συγκεκριμένου καταλόγου Google Drive, χειρίζεται τυχόν εργασίες λήψης και μεταφόρτωσης μέσω της περιόδου σύνδεσης του Google Drive και πολλά άλλα.

Απειλητικές εντολές

Σύμφωνα με τους ερευνητές, η ασύγχρονη φύση ολόκληρης της λειτουργίας κακόβουλου λογισμικού GIMMICK απαιτεί μια σταδιακή προσέγγιση για την εκτέλεση εντολών. Αυτές οι εντολές μεταδίδονται στο σύστημα σε κρυπτογραφημένη μορφή AES και είναι επτά συνολικά. Ο παράγοντας απειλής μπορεί να δώσει εντολή στο κακόβουλο λογισμικό να μεταδώσει πληροφορίες συστήματος βάσης σχετικά με τη συσκευή που έχει παραβιαστεί, να ανεβάσει αρχεία στους διακομιστές C2 ή να κατεβάσει επιλεγμένα αρχεία στο μολυσμένο σύστημα, να εκτελέσει εντολές φλοιού και άλλα.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,356
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...