GIMMICK มัลแวร์

นักวิจัยของ infosec ค้นพบมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ซึ่งกำหนดเป้าหมายอุปกรณ์ macOS มัลแวร์ GIMMICK ถูกติดตามว่าเป็นส่วนหนึ่งของคลังอาวุธที่เป็นอันตรายของกลุ่มจารกรรมทางอินเทอร์เน็ตของจีนที่รู้จักกันในชื่อ Storm Cloud รายละเอียดเกี่ยวกับภัยคุกคามถูกตีพิมพ์ในรายงานโดยนักวิจัย ซึ่งสามารถดึงมัลแวร์ออกจาก RAM ของอุปกรณ์ MacBook Pro คาดว่าอุปกรณ์ดังกล่าวจะติดไวรัสโดยเป็นส่วนหนึ่งของการจารกรรมที่เกิดขึ้นเมื่อปลายปี 2564

รายละเอียดทางเทคนิค

มัลแวร์ GIMMICK เป็นภัยคุกคามแบบหลายแพลตฟอร์ม ตัวแปร macOS ของมันเขียนโดยใช้ Objective C ในขณะที่สร้างการกำหนดเป้าหมาย Windows โดยใช้ .NET และ Delphi แม้ว่าจะมีความแตกต่างของโค้ดบางอย่าง ตัวแปรทั้งหมดจะแสดงรูปแบบพฤติกรรม โครงสร้างพื้นฐานของคำสั่งและการควบคุม (C2, C&C) และเส้นทางไฟล์ที่เหมือนกัน ควรสังเกตด้วยว่ามัลแวร์ละเมิดบริการของ Google ไดรฟ์อย่างหนัก

หลังจากติดตั้งบนระบบเป้าหมายแล้ว GIMMICK จะโหลดส่วนประกอบมัลแวร์แยกกันสามส่วน ได้แก่ DriveManager, FileManager และ GCDTimerManager ชื่อของส่วนประกอบสะท้อนถึงงานและฟังก์ชันการทำงาน FileManager ควบคุมโลคัลไดเร็กทอรีที่มีข้อมูล C2 และข้อมูลที่เกี่ยวข้องกับงานคำสั่ง GCDTimerManger ดูแลการจัดการวัตถุ GCD ที่จำเป็น ในทางกลับกัน DriveManager รับผิดชอบการดำเนินการต่างๆ ที่เกี่ยวข้องกับ Google ไดรฟ์ โดยเฉพาะอย่างยิ่ง จะจัดการ Google ไดรฟ์และเซสชันพร็อกซี รักษาแผนที่ในเครื่องของลำดับชั้นของไดเรกทอรี Google ไดรฟ์ จัดการงานดาวน์โหลดและอัปโหลดผ่านเซสชัน Google ไดรฟ์ และอื่นๆ

คำสั่งข่มขู่

นักวิจัยกล่าวว่าลักษณะการทำงานแบบอะซิงโครนัสของมัลแวร์ GIMMICK ทั้งหมดจำเป็นต้องมีแนวทางการจัดฉากสำหรับการดำเนินการคำสั่ง คำสั่งเหล่านี้จะถูกส่งไปยังระบบในรูปแบบที่เข้ารหัส AES และมีทั้งหมดเจ็ดคำสั่ง ผู้คุกคามสามารถสั่งให้มัลแวร์ส่งข้อมูลระบบพื้นฐานเกี่ยวกับอุปกรณ์ที่ถูกละเมิด อัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ C2 หรือดาวน์โหลดไฟล์ที่เลือกไปยังระบบที่ติดไวรัส รันคำสั่งเชลล์ และอื่นๆ