GIMMICK Haittaohjelma
Infosec-tutkijat ovat löytäneet aiemmin tuntemattoman haittaohjelman, joka kohdistuu macOS-laitteisiin. GIMMICK-haittaohjelmaksi jäljitetyn uhan on katsottu kuuluvan kiinalaisen kybervakoiluryhmän, Storm Cloud -nimisen ryhmän haitalliseen arsenaaliin. Uhkauksen yksityiskohdat julkaistiin tutkijoiden raportissa, jotka onnistuivat poimimaan haittaohjelman MacBook Pron RAM-muistista. Arvioiden mukaan laite sai tartunnan osana vuoden 2021 lopulla järjestettyä vakoilukampanjaa.
Tekniset yksityiskohdat
GIMMICK-haittaohjelma on usean alustan uhka. Sen macOS-versiot on kirjoitettu Objective C:llä, kun taas Windows-kohdistetut versiot on luotu .NET:n ja Delphin avulla. Tietyistä koodieroista huolimatta kaikissa versioissa on samat käyttäytymismallit, Command-and-Control (C2, C&C) -infrastruktuuri ja tiedostopolut. On myös huomattava, että haittaohjelma väärinkäyttää voimakkaasti Google Driven palveluita.
Kun GIMMICK on otettu käyttöön kohdejärjestelmissä, se lataa kolme erillistä haittaohjelmakomponenttia - DriveManager, FileManager ja GCDTimerManager. Komponenttien nimet kuvastavat niiden tehtäviä ja toimintoja. FileManager hallitsee paikallista hakemistoa, joka sisältää C2-tiedot ja komentotehtäviin liittyvät tiedot. GCDTimerManger valvoo tarvittavien GCD-objektien hallintaa. DriveManager puolestaan vastaa erilaisista Google Driveen liittyvistä toiminnoista. Tarkemmin sanottuna se hallitsee Google Drive- ja välityspalvelinistuntoja, ylläpitää paikallista karttaa tietyn Google Drive -hakemiston hierarkiasta, käsittelee kaikki lataus- ja lähetystehtävät Google Drive -istunnon kautta ja paljon muuta.
Uhkaavat komennot
Tutkijoiden mukaan koko GIMMICK-haittaohjelmatoiminnan asynkronisuus edellyttää vaiheittaista lähestymistapaa komentojen suorittamiseen. Nämä komennot välitetään järjestelmään AES-salatussa muodossa ja niitä on yhteensä seitsemän. Uhkatoimija voi käskeä haittaohjelman välittämään perusjärjestelmän tiedot murtautuneesta laitteesta, lataamaan tiedostoja C2-palvelimille tai lataamaan valitut tiedostot tartunnan saaneeseen järjestelmään, suorittamaan komentotulkkikomentoja ja paljon muuta.