GIMMICK Malware
Un malware previamente desconocido dirigido a dispositivos macOS ha sido descubierto por investigadores de infosec. Rastreado como malware GIMMICK, la amenaza se ha atribuido a ser parte del arsenal malicioso de un grupo de ciberespionaje chino conocido como Storm Cloud. Los detalles sobre la amenaza se publicaron en un informe de los investigadores, que pudieron extraer el malware de la memoria RAM de un dispositivo MacBook Pro. Se estima que el dispositivo fue infectado como parte de una campaña de espionaje que tuvo lugar a finales de 2021.
Detalles técnicos
El malware GIMMICK es una amenaza multiplataforma. Sus variantes de macOS están escritas con Objective C, mientras que las destinadas a Windows se crean con .NET y Delphi. A pesar de la presencia de ciertas diferencias de código, todas las variantes exhiben los mismos patrones de comportamiento, infraestructura de comando y control (C2, C&C) y rutas de archivo. También se debe tener en cuenta que el malware abusa en gran medida de los servicios de Google Drive.
Después de implementarse en los sistemas de destino, GIMMICK carga tres componentes de malware separados: DriveManager, FileManager y GCDTimerManager. Los nombres de los componentes reflejan sus tareas y funcionalidades. FileManager gobierna el directorio local que contiene la información de C2 y los datos relacionados con las tareas de comando. GCDTimerManger supervisa la gestión de los objetos GCD necesarios. DriveManager, por otro lado, es responsable de las diversas acciones relacionadas con Google Drive. Más específicamente, administra las sesiones de Google Drive y prox, mantiene un mapa local de la jerarquía del directorio específico de Google Drive, maneja las tareas de carga y descarga a través de la sesión de Google Drive, y más.
Comandos amenazantes
Según los investigadores, la naturaleza asíncrona de toda la operación de malware GIMMICK requiere un enfoque por etapas para la ejecución de comandos. Estos comandos se transmiten al sistema en formato cifrado AES y son siete en total. El actor de amenazas puede instruir al malware para que transmita información del sistema base sobre el dispositivo violado, cargue archivos a los servidores C2 o descargue archivos elegidos al sistema infectado, ejecute comandos de shell y más.
