Többeszközös licencek (mennyiségi kedvezmények)
Threat Database Mac Malware GIMMICK Malware

GIMMICK Malware

Mezo -ra Mac Malware-ben
Fordítás ide:
Magyar

Egy korábban ismeretlen, macOS eszközöket célzó kártevőt fedeztek fel az infosec kutatói. A GIMMICK rosszindulatú programként nyomon követett fenyegetést a Storm Cloud néven ismert kínai kiberkémkedési csoport rosszindulatú fegyvertárának tulajdonítják. A fenyegetés részleteit a kutatók jelentésében tették közzé, akiknek sikerült kivonniuk a kártevőt egy MacBook Pro készülék RAM-jából. Becslések szerint az eszközt egy 2021 végén lezajlott kémkampány részeként fertőzték meg.

Műszaki információk

A GIMMICK malware többplatformos fenyegetés. A macOS-változatai az Objective C használatával, míg a Windows-célzók .NET és Delphi használatával készültek. Bizonyos kódbeli eltérések ellenére minden változat ugyanazokat a viselkedési mintákat, a Command-and-Control (C2, C&C) infrastruktúrát és a fájl elérési útjait mutatja. Azt is meg kell jegyezni, hogy a rosszindulatú program súlyosan visszaél a Google Drive szolgáltatásaival.

A megcélzott rendszereken való üzembe helyezés után a GIMMICK három különálló kártevő-összetevőt tölt be: DriveManager, FileManager és GCDTimerManager. Az összetevők neve tükrözi feladataikat és funkcióikat. A FileManager a C2 információkat és a parancsfeladatokkal kapcsolatos adatokat tartalmazó helyi könyvtárat szabályozza. A GCDTimerManger felügyeli a szükséges GCD-objektumok kezelését. A DriveManager viszont felelős a különféle Google Drive-val kapcsolatos műveletekért. Pontosabban: kezeli a Google Drive- és a prox-munkameneteket, karbantartja az adott Google Drive-könyvtár hierarchiájának helyi térképét, kezeli a Google Drive-munkameneten keresztüli letöltési és feltöltési feladatokat, és még sok más.

Fenyegető parancsok

A kutatók szerint a GIMMICK kártevő teljes működésének aszinkron jellege fokozatos megközelítést tesz szükségessé a parancsvégrehajtáshoz. Ezeket a parancsokat AES-titkosított formában továbbítják a rendszerhez, és összesen hét. A fenyegetettség szereplője utasíthatja a kártevőt, hogy továbbítsa az alaprendszerinformációkat a feltört eszközről, töltsön fel fájlokat a C2-szerverekre, vagy töltsön le kiválasztott fájlokat a fertőzött rendszerre, hajtson végre shell-parancsokat és így tovább.

Felkapott

Legnézettebb

Betöltés...