GIMMICK Malware
Daha önce bilinmeyen, macOS cihazlarını hedefleyen bir kötü amaçlı yazılım, infosec araştırmacıları tarafından ortaya çıkarıldı. GIMMICK kötü amaçlı yazılımı olarak izlenen tehdit, Storm Cloud olarak bilinen Çinli bir siber casusluk grubunun kötü niyetli cephaneliğinin bir parçası olmakla ilişkilendiriliyor. Tehditle ilgili ayrıntılar, bir MacBook Pro cihazının RAM'inden kötü amaçlı yazılımı çıkarabilen araştırmacılar tarafından bir raporda yayınlandı. Cihaza 2021'in sonlarında gerçekleşen bir casusluk kampanyasının parçası olarak bulaştığı tahmin ediliyor.
Teknik detaylar
GIMMICK kötü amaçlı yazılımı çok platformlu bir tehdittir. Windows hedefli olanlar .NET ve Delphi kullanılarak oluşturulurken, macOS varyantları Objective C kullanılarak yazılır. Belirli kod farklılıklarının varlığına rağmen, tüm varyantlar aynı davranış kalıplarını, Komuta ve Kontrol (C2, C&C) altyapısını ve dosya yollarını sergiler. Kötü amaçlı yazılımın, Google Drive hizmetlerini büyük ölçüde kötüye kullandığı da belirtilmelidir.
Hedeflenen sistemlere dağıtıldıktan sonra GIMMICK, DriveManager, FileManager ve GCDTimerManager olmak üzere üç ayrı kötü amaçlı yazılım bileşeni yükler. Bileşenlerin adları, görevlerini ve işlevlerini yansıtır. FileManager, C2 bilgilerini ve komut görevleriyle ilgili verileri içeren yerel dizini yönetir. GCDTimerManger, gerekli GCD nesnelerinin yönetimini denetler. DriveManager ise Google Drive ile ilgili çeşitli işlemlerden sorumludur. Daha spesifik olarak, Google Drive ve proxy oturumlarını yönetir, belirli Google Drive dizininin hiyerarşisinin yerel bir haritasını tutar, Google Drive oturumu aracılığıyla tüm indirme ve yükleme görevlerini gerçekleştirir ve daha fazlasını yapar.
Tehdit Eden Komutlar
Araştırmacılara göre, tüm GIMMICK kötü amaçlı yazılım operasyonunun eşzamansız doğası, komut yürütme için aşamalı bir yaklaşım gerektiriyor. Bu komutlar sisteme AES şifreli olarak iletilir ve toplamda yedi adettir. Tehdit aktörü, kötü amaçlı yazılıma, ihlal edilen cihaz hakkında temel sistem bilgilerini iletmesi, dosyaları C2 sunucularına yüklemesi veya seçilen dosyaları virüslü sisteme indirmesi, kabuk komutlarını yürütmesi ve daha fazlası için talimat verebilir.
