תוכנה זדונית של GIMMICK
תוכנה זדונית שלא הייתה ידועה בעבר, המכוונת למכשירי macOS, נחשפה על ידי חוקרי infosec. האיום, בעקבות מעקב כתוכנה זדונית של GIMMICK, יוחס להיותו חלק מהארסנל הזדוני של קבוצת ריגול סייבר סינית הידועה בשם Storm Cloud . פרטים על האיום פורסמו בדו"ח של חוקרים, שהצליחו לחלץ את התוכנה הזדונית מזיכרון ה-RAM של מכשיר MacBook Pro. ההערכה היא שהמכשיר נדבק במסגרת מסע ריגול שהתקיים בסוף 2021.
פרטים טכניים
התוכנה הזדונית של GIMMICK היא איום מרובה פלטפורמות. גרסאות ה-macOS שלו נכתבות באמצעות Objective C בעוד שהגרסאות המכוונות ל-Windows נוצרות באמצעות .NET ו- Delphi. למרות נוכחותם של הבדלי קוד מסוימים, כל הגרסאות מציגות את אותם דפוסי התנהגות, תשתית Command-and-Control (C2, C&C) ונתיבי קבצים. כמו כן, יש לציין שהתוכנה הזדונית עושה שימוש לרעה בשירותים של Google Drive.
לאחר פריסה במערכות היעד, GIMMICK טוען שלושה רכיבי תוכנה זדונית נפרדים - DriveManager, FileManager ו- GCDTimerManager. שמות הרכיבים משקפים את המשימות והפונקציונליות שלהם. FileManager שולט בספרייה המקומית המכילה את המידע C2 ואת הנתונים הקשורים למשימות הפקודה. GCDTimerManger מפקח על הניהול של אובייקטי GCD הדרושים. DriveManager, לעומת זאת, אחראי על הפעולות השונות הקשורות ל-Google Drive. ליתר דיוק, היא מנהלת את הפעלות Google Drive והפרוקס, מתחזקת מפה מקומית של ההיררכיה של ספריית Google Drive הספציפית, מטפלת בכל משימות הורדה והעלאה דרך הפגישה של Google Drive ועוד.
פקודות מאיימות
לדברי החוקרים, האופי האסינכרוני של כל פעולת התוכנה הזדונית של GIMMICK מצריך גישה מבוימת לביצוע פקודה. פקודות אלו מועברות למערכת בצורה מוצפנת AES והן שבע בסך הכל. שחקן האיום יכול להורות לתוכנה הזדונית להעביר מידע מערכת בסיס על המכשיר הפרוץ, להעלות קבצים לשרתי C2 או להוריד קבצים נבחרים למערכת הנגועה, לבצע פקודות מעטפת ועוד.
