Вредоносное ПО
Ранее неизвестное вредоносное ПО, нацеленное на устройства macOS, было обнаружено исследователями информационной безопасности. Эта угроза, отслеживаемая как вредоносное ПО GIMMICK, была приписана тому, что она является частью вредоносного арсенала китайской группы кибершпионажа, известной как Storm Cloud . Подробности об угрозе опубликованы в отчете исследователей, которым удалось извлечь вредоносное ПО из оперативной памяти устройства MacBook Pro. Предполагается, что устройство было заражено в рамках шпионской кампании, которая проходила в конце 2021 года.
Технические подробности
Вредоносная программа GIMMICK представляет собой мультиплатформенную угрозу. Его варианты для macOS написаны с использованием Objective C, а версии для Windows созданы с использованием .NET и Delphi. Несмотря на наличие определенных различий в коде, все варианты демонстрируют одинаковые модели поведения, инфраструктуру управления и контроля (C2, C&C) и пути к файлам. Следует также отметить, что вредоносное ПО активно злоупотребляет услугами Google Диска.
После развертывания в целевых системах GIMMICK загружает три отдельных вредоносных компонента — DriveManager, FileManager и GCDTimerManager. Названия компонентов отражают их задачи и функциональные возможности. FileManager управляет локальным каталогом, содержащим информацию C2 и данные, связанные с командными задачами. GCDTimerManger контролирует управление необходимыми объектами GCD. С другой стороны, DriveManager отвечает за различные действия, связанные с Google Диском. В частности, он управляет сеансами Google Диска и прокси-сервера, поддерживает локальную карту иерархии конкретного каталога Google Диска, обрабатывает любые задачи загрузки и выгрузки через сеанс Google Диска и многое другое.
Угрожающие команды
По словам исследователей, асинхронный характер всей операции вредоносного ПО GIMMICK требует поэтапного подхода к выполнению команд. Эти команды передаются в систему в зашифрованном виде с помощью AES, всего их семь. Злоумышленник может поручить вредоносной программе передать базовую системную информацию о взломанном устройстве, загрузить файлы на серверы C2 или загрузить выбранные файлы в зараженную систему, выполнить команды оболочки и многое другое.
