GIMMICK Malware
Een voorheen onbekende malware gericht op macOS-apparaten is ontdekt door infosec-onderzoekers. Bijgehouden als GIMMICK-malware, is de dreiging toegeschreven aan het deel uitmaken van het kwaadaardige arsenaal van een Chinese cyberspionagegroep die bekend staat als Storm Cloud. Details over de dreiging werden gepubliceerd in een rapport van onderzoekers, die de malware uit het RAM-geheugen van een MacBook Pro-apparaat konden halen. Naar schatting is het apparaat besmet als onderdeel van een spionagecampagne die eind 2021 plaatsvond.
Technische details
De GIMMICK-malware is een bedreiging voor meerdere platforms. De macOS-varianten zijn geschreven met Objective C, terwijl de op Windows gerichte varianten zijn gemaakt met .NET en Delphi. Ondanks de aanwezigheid van bepaalde codeverschillen, vertonen alle varianten dezelfde gedragspatronen, Command-and-Control (C2, C&C) infrastructuur en bestandspaden. Er moet ook worden opgemerkt dat de malware zwaar misbruik maakt van de diensten van Google Drive.
Nadat het op de beoogde systemen is geïmplementeerd, laadt GIMMICK drie afzonderlijke malwarecomponenten: DriveManager, FileManager en GCDTimerManager. De namen van de componenten weerspiegelen hun taken en functionaliteiten. FileManager beheert de lokale map die de C2-informatie en de gegevens met betrekking tot de opdrachttaken bevat. GCDTimerManger houdt toezicht op het beheer van de benodigde GCD-objecten. DriveManager daarentegen is verantwoordelijk voor de verschillende Google Drive-gerelateerde acties. Meer specifiek beheert het de Google Drive- en prox-sessies, onderhoudt een lokale kaart van de specifieke hiërarchie van de Google Drive-directory, verwerkt alle download- en uploadtaken via de Google Drive-sessie en meer.
Dreigende commando's
Volgens de onderzoekers vereist de asynchrone aard van de hele GIMMICK-malwareoperatie een gefaseerde aanpak voor het uitvoeren van opdrachten. Deze commando's worden in AES-gecodeerde vorm naar het systeem verzonden en zijn in totaal zeven. De dreigingsactor kan de malware opdracht geven om basissysteeminformatie over het gehackte apparaat te verzenden, bestanden naar de C2-servers te uploaden of gekozen bestanden naar het geïnfecteerde systeem te downloaden, shell-opdrachten uit te voeren en meer.
