GIMMICK Malware
Një malware i panjohur më parë që synon pajisjet macOS është zbuluar nga studiuesit e infosec. I gjurmuar si malware GIMMICK, kërcënimi i është atribuar të qenurit pjesë e arsenalit keqdashës të një grupi kinez të spiunazhit kibernetik të njohur si Storm Cloud . Detajet rreth kërcënimit u publikuan në një raport nga studiuesit, të cilët ishin në gjendje të nxirrnin malware nga RAM-i i një pajisjeje MacBook Pro. Vlerësohet se pajisja është infektuar si pjesë e një fushate spiunazhi që u zhvillua në fund të vitit 2021.
Detaje teknike
Malware GIMMICK është një kërcënim me shumë platforma. Variantet e tij macOS janë shkruar duke përdorur Objektivin C ndërsa ato që synojnë Windows-in janë krijuar duke përdorur .NET dhe Delphi. Pavarësisht pranisë së disa dallimeve të kodit, të gjitha variantet shfaqin të njëjtat modele të sjelljes, infrastrukturën e komandës dhe kontrollit (C2, C&C) dhe shtigjet e skedarëve. Duhet të theksohet gjithashtu se malware abuzon shumë me shërbimet e Google Drive.
Pas vendosjes në sistemet e synuara, GIMMICK ngarkon tre komponentë të veçantë malware - DriveManager, FileManager dhe GCDTimerManager. Emrat e komponentëve pasqyrojnë detyrat dhe funksionalitetet e tyre. FileManager drejton drejtorinë lokale që përmban informacionin C2 dhe të dhënat që lidhen me detyrat e komandës. GCDTimerManger mbikëqyr menaxhimin e objekteve të nevojshme GCD. DriveManager, nga ana tjetër, është përgjegjës për veprimet e ndryshme të lidhura me Google Drive. Më konkretisht, ai menaxhon seancat e Google Drive dhe prox, mban një hartë lokale të hierarkisë specifike të drejtorisë së Google Drive, trajton çdo detyrë shkarkimi dhe ngarkimi përmes sesionit të Google Drive dhe më shumë.
Komandat kërcënuese
Sipas studiuesve, natyra asinkrone e të gjithë operacionit të malware GIMMICK kërkon një qasje në skenë për ekzekutimin e komandës. Këto komanda i transmetohen sistemit në formë të koduar me AES dhe janë gjithsej shtatë. Aktori i kërcënimit mund të udhëzojë malware të transmetojë informacione të sistemit bazë për pajisjen e dëmtuar, të ngarkojë skedarë në serverët C2 ose të shkarkojë skedarë të zgjedhur në sistemin e infektuar, të ekzekutojë komandat e guaskës dhe më shumë.
