GIMMICK skadelig programvare
En tidligere ukjent skadelig programvare rettet mot macOS-enheter har blitt avdekket av infosec-forskere. Sporet som GIMMICK malware, har trusselen blitt tilskrevet å være en del av det ondsinnede arsenalet til en kinesisk nettspionasjegruppe kjent som Storm Cloud . Detaljer om trusselen ble publisert i en rapport fra forskere, som var i stand til å trekke ut skadelig programvare fra RAM-en til en MacBook Pro-enhet. Det er anslått at enheten ble infisert som en del av en spionasjekampanje som fant sted sent i 2021.
Tekniske detaljer
GIMMICK malware er en trussel på flere plattformer. MacOS-variantene er skrevet med Objective C, mens Windows-målrettingsvariantene er laget med .NET og Delphi. Til tross for tilstedeværelsen av visse kodeforskjeller, viser alle varianter de samme atferdsmønstrene, Command-and-Control (C2, C&C) infrastruktur og filstier. Det bør også bemerkes at skadelig programvare misbruker i stor grad tjenestene til Google Drive.
Etter å ha blitt distribuert på de målrettede systemene, laster GIMMICK tre separate skadevarekomponenter - DriveManager, FileManager og GCDTimerManager. Navnene på komponentene gjenspeiler deres oppgaver og funksjoner. FileManager styrer den lokale katalogen som inneholder C2-informasjonen og dataene knyttet til kommandooppgavene. GCDTimerManger overvåker administrasjonen av de nødvendige GCD-objektene. DriveManager, på den annen side, er ansvarlig for de ulike Google Drive-relaterte handlingene. Mer spesifikt administrerer den Google Drive- og prox-øktene, opprettholder et lokalt kart over den spesifikke Google Drive-katalogens hierarki, håndterer eventuelle nedlastings- og opplastingsoppgaver via Google Drive-økten, og mer.
Truende kommandoer
Ifølge forskerne krever den asynkrone naturen til hele GIMMICK-malwareoperasjonen en trinnvis tilnærming for utførelse av kommandoer. Disse kommandoene overføres til systemet i AES-kryptert form og er totalt syv. Trusselaktøren kan instruere skadelig programvare til å overføre basissysteminformasjon om den brutte enheten, laste opp filer til C2-servere eller laste ned valgte filer til det infiserte systemet, utføre skallkommandoer og mer.
