GIMMICK Malware
Un malware precedentemente sconosciuto che prendeva di mira i dispositivi macOS è stato scoperto dai ricercatori di infosec. Tracciato come malware GIMMICK, la minaccia è stata attribuita all'appartenenza all'arsenale dannoso di un gruppo di spionaggio informatico cinese noto come Storm Cloud. I dettagli sulla minaccia sono stati pubblicati in un rapporto dei ricercatori, che sono stati in grado di estrarre il malware dalla RAM di un dispositivo MacBook Pro. Si stima che il dispositivo sia stato infettato nell'ambito di una campagna di spionaggio avvenuta alla fine del 2021.
Dettagli tecnici
Il malware GIMMICK è una minaccia multipiattaforma. Le sue varianti macOS sono scritte utilizzando Objective C mentre quelle di targeting per Windows vengono create utilizzando .NET e Delphi. Nonostante la presenza di alcune differenze di codice, tutte le varianti mostrano gli stessi modelli comportamentali, l'infrastruttura Command-and-Control (C2, C&C) e i percorsi dei file. Va inoltre notato che il malware abusa pesantemente dei servizi di Google Drive.
Dopo essere stato distribuito sui sistemi presi di mira, GIMMICK carica tre componenti malware separati: DriveManager, FileManager e GCDTimerManager. I nomi dei componenti riflettono i loro compiti e funzionalità. FileManager governa la directory locale contenente le informazioni C2 ei dati relativi alle attività di comando. GCDTimerManger supervisiona la gestione degli oggetti GCD necessari. DriveManager, d'altra parte, è responsabile delle varie azioni relative a Google Drive. Più in particolare, gestisce le sessioni di Google Drive e Prox, mantiene una mappa locale della gerarchia della directory specifica di Google Drive, gestisce eventuali attività di download e caricamento tramite la sessione di Google Drive e altro ancora.
Comandi minacciosi
Secondo i ricercatori, la natura asincrona dell'intera operazione del malware GIMMICK richiede un approccio graduale per l'esecuzione dei comandi. Questi comandi vengono trasmessi al sistema in forma crittografata AES e sono sette in totale. L'attore della minaccia può istruire il malware a trasmettere le informazioni di sistema di base sul dispositivo violato, caricare file sui server C2 o scaricare i file scelti sul sistema infetto, eseguire comandi shell e altro ancora.
