GIMMICK Malware
En tidigare okänd skadlig programvara inriktad på macOS-enheter har upptäckts av infosec-forskare. Spåras som GIMMICK malware, hotet har tillskrivits att vara en del av den skadliga arsenalen av en kinesisk cyberspionagegrupp känd som Storm Cloud. Detaljer om hotet publicerades i en rapport av forskare, som kunde extrahera skadlig programvara från RAM-minnet på en MacBook Pro-enhet. Det uppskattas att enheten infekterades som en del av en spionagekampanj som ägde rum i slutet av 2021.
Tekniska detaljer
GIMMICK skadlig programvara är ett hot med flera plattformar. Dess macOS-varianter är skrivna med Objective C medan de som riktar sig mot Windows skapas med .NET och Delphi. Trots förekomsten av vissa kodskillnader uppvisar alla varianter samma beteendemönster, Command-and-Control (C2, C&C) infrastruktur och filsökvägar. Det bör också noteras att skadlig programvara missbrukar tjänsterna från Google Drive kraftigt.
Efter att ha distribuerats på de riktade systemen, laddar GIMMICK tre separata skadliga komponenter - DriveManager, FileManager och GCDTimerManager. Namnen på komponenterna återspeglar deras uppgifter och funktioner. FileManager styr den lokala katalogen som innehåller C2-informationen och data relaterade till kommandouppgifterna. GCDTimerManger övervakar hanteringen av de nödvändiga GCD-objekten. DriveManager, å andra sidan, är ansvarig för de olika Google Drive-relaterade åtgärderna. Mer specifikt hanterar den Google Drive och prox-sessioner, upprätthåller en lokal karta över den specifika Google Drive-katalogens hierarki, hanterar alla nedladdnings- och uppladdningsuppgifter via Google Drive-sessionen och mer.
Hotande kommandon
Enligt forskarna kräver den asynkrona karaktären hos hela GIMMICK malware-operationen ett stegvis tillvägagångssätt för att köra kommandon. Dessa kommandon överförs till systemet i AES-krypterad form och är totalt sju. Hotaktören kan instruera skadlig programvara att överföra bassysteminformation om den intrångade enheten, ladda upp filer till C2-servrarna eller ladda ner valda filer till det infekterade systemet, utföra skalkommandon och mer.
