Nieuwe variant van Chinese gimmick-malware gericht op macOS-gebruikers

Gimmick Malware Targeting macOS Users Nachrichten

Onderzoekers hebben details bekendgemaakt van een nieuw ontdekte macOS-variant van een malware-implantaat, ontwikkeld door een Chinese spionagebedreigingsacteur waarvan bekend is dat hij aanvalsorganisaties in heel Azië aanvalt.

De aanvallen toeschrijven aan een groep die wordt gevolgd als Onweerswolkcyberbeveiligingsbedrijf Volexity karakteriseerde de nieuwe malware, genaamd Gimmickeen “feature-rijke, multi-platform malware-familie die openbare cloud-hostingservices (zoals Google Drive) gebruikt voor command-and-control (C2) kanalen.”

Het cyberbeveiligingsbedrijf zei dat het het monster had teruggevonden via geheugenanalyse van een gecompromitteerde MacBook Pro met macOS 11.6 (Big Sur) als onderdeel van een inbraakcampagne die eind 2021 plaatsvond.

“Storm Cloud is een geavanceerde en veelzijdige dreigingsactor, die zijn toolset aanpast aan de verschillende besturingssystemen die door zijn doelwitten worden gebruikt”, aldus Volexity-onderzoekers Damien Cash, Steven Adair en Thomas Lancaster. zei in een rapport.

“Ze maken gebruik van ingebouwde hulpprogramma’s voor besturingssystemen, open-sourcetools en aangepaste malware-implantaten om hun doelstellingen te bereiken. Door gebruik te maken van cloudplatforms voor C2, zoals het gebruik van Google Drive, wordt de kans groter dat ze onopgemerkt blijven door oplossingen voor netwerkbewaking.”

In tegenstelling tot zijn Windows-tegenhanger, die is gecodeerd in zowel .NET als Delphi, is de macOS-versie geschreven in Objective C. Afgezien van de keuze van de programmeertalen is bekend dat de twee versies van de malware dezelfde C2-infrastructuur en gedragspatronen delen.

Eenmaal geïmplementeerd, wordt Gimmick gelanceerd als een daemon of in de vorm van een aangepaste toepassing die is ontworpen om een ​​programma na te bootsen dat vaak door de beoogde gebruiker wordt gelanceerd. De malware is geconfigureerd om alleen op werkdagen te communiceren met zijn op Google Drive gebaseerde C2-server om zo verder op te gaan in het netwerkverkeer in de doelomgeving.

Bovendien heeft de achterdeur, naast het ophalen van willekeurige bestanden en het uitvoeren van commando’s van de C2-server, zijn eigen de-installatiefunctionaliteit waarmee het zichzelf van de gecompromitteerde machine kan wissen.

Om gebruikers te beschermen tegen malware, heeft Apple uitgegeven nieuwe handtekeningen aan zijn ingebouwde anti-malware beschermingssuite bekend als XProtect vanaf 17 maart 2022 om de infecties te blokkeren en te verwijderen via zijn Malware Removal Tool (MRT).

“Het werk dat gepaard gaat met het overzetten van deze malware en het aanpassen van de systemen aan een nieuw besturingssysteem (macOS) is geen lichte onderneming en suggereert dat de dreigingsactor erachter goed toegerust, bedreven en veelzijdig is”, aldus de onderzoekers.

David
Rate author
Hackarizona