GIMMICK Malware
Badacze infosec odkryli nieznane wcześniej złośliwe oprogramowanie atakujące urządzenia macOS. Śledzone jako złośliwe oprogramowanie GIMMICK, zagrożenie zostało przypisane jako część szkodliwego arsenału chińskiej grupy cyberszpiegowskiej znanej jako Storm Cloud. Szczegóły dotyczące zagrożenia zostały opublikowane w raporcie opracowanym przez badaczy, którym udało się wyodrębnić szkodliwe oprogramowanie z pamięci RAM urządzenia MacBook Pro. Szacuje się, że urządzenie zostało zainfekowane w ramach kampanii szpiegowskiej, która miała miejsce pod koniec 2021 roku.
Szczegóły techniczne
Malware GIMMICK jest zagrożeniem wieloplatformowym. Jego warianty dla systemu macOS są napisane przy użyciu Objective C, podczas gdy wersje ukierunkowane na Windows są tworzone przy użyciu .NET i Delphi. Pomimo obecności pewnych różnic w kodzie, wszystkie warianty wykazują te same wzorce zachowań, infrastrukturę Command-and-Control (C2, C&C) i ścieżki plików. Należy również zauważyć, że złośliwe oprogramowanie w znacznym stopniu wykorzystuje usługi Dysku Google.
Po wdrożeniu na docelowych systemach GIMMICK ładuje trzy oddzielne komponenty złośliwego oprogramowania - DriveManager, FileManager i GCDTimerManager. Nazwy komponentów odzwierciedlają ich zadania i funkcjonalności. FileManager zarządza katalogiem lokalnym zawierającym informacje o C2 i dane związane z zadaniami poleceń. GCDTimerManger nadzoruje zarządzanie potrzebnymi obiektami GCD. Z drugiej strony DriveManager odpowiada za różne działania związane z Dyskiem Google. Mówiąc dokładniej, zarządza sesjami Dysku Google i proxy, utrzymuje lokalną mapę hierarchii określonego katalogu Dysku Google, obsługuje wszelkie zadania pobierania i przesyłania za pośrednictwem sesji Dysku Google i nie tylko.
Groźne komendy
Zdaniem naukowców asynchroniczny charakter całej operacji szkodliwego oprogramowania GIMMICK wymaga etapowego podejścia do wykonywania poleceń. Polecenia te są przesyłane do systemu w postaci zaszyfrowanej AES i jest ich w sumie siedem. Aktor zagrożenia może poinstruować złośliwe oprogramowanie, aby przesłało podstawowe informacje systemowe o naruszonym urządzeniu, przesłało pliki na serwery C2 lub pobrało wybrane pliki do zainfekowanego systemu, wykonało polecenia powłoki i nie tylko.
