Licenças para vários dispositivos (descontos por volume)
Threat Database Mac Malware GIMMICK Malware

GIMMICK Malware

Por Mezo em Mac Malware
Traduzir Para:
Português

Um malware anteriormente desconhecido, direcionado a dispositivos macOS foi descoberto por pesquisadores de infosec. Rastreado como malware GIMMICK, a ameaça foi atribuída como fazendo parte do arsenal malicioso de um grupo de ciberespionagem chinês conhecido como Storm Cloud. Detalhes sobre a ameaça foram publicados em um relatório de pesquisadores, que conseguiram extrair o malware da RAM de um dispositivo MacBook Pro. Estima-se que o dispositivo tenha sido infectado como parte de uma campanha de espionagem que ocorreu no final de 2021.

Detalhes Técnicos

O malware GIMMICK é uma ameaça de multiplataforma. Suas variantes do macOS são escritas usando Objective C, enquanto as voltadas para o Windows são criadas usando .NET e Delphi. Apesar da presença de certas diferenças de código, todas as variantes exibem os mesmos padrões comportamentais, infraestrutura de comando e controle (C2, C&C) e caminhos de arquivo. Deve-se notar também que o malware abusa fortemente dos serviços do Google Drive.

Após ser implantado nos sistemas visados, o GIMMICK carrega três componentes de malware separados - DriveManager, FileManager e GCDTimerManager. Os nomes dos componentes refletem suas tarefas e funcionalidades. O FileManager controla o diretório local que contém as informações do C2 e os dados relacionados às tarefas de comando. GCDTimerManger supervisiona o gerenciamento dos objetos GCD necessários. O DriveManager, por outro lado, é responsável pelas diversas ações relacionadas ao Google Drive. Mais especificamente, ele gerencia as sessões do Google Drive e prox, mantém um mapa local da hierarquia do diretório específico do Google Drive, lida com qualquer tarefa de download e upload por meio da sessão do Google Drive e muito mais.

Comandos Ameaçadores

De acordo com os pesquisadores, a natureza assíncrona de toda a operação do malware GIMMICK requer uma abordagem em etapas para a execução do comando. Esses comandos são transmitidos ao sistema em formato criptografado AES e são sete no total. O agente da ameaça pode instruir o malware a transmitir informações básicas do sistema sobre o dispositivo violado, fazer upload de arquivos para os servidores C2 ou baixar arquivos escolhidos para o sistema infectado, executar comandos de shell e muito mais.

Tendendo

Mais visto

Carregando...