Ερευνητές ασφαλείας ανακάλυψαν μια προηγουμένως άγνωστη παραλλαγή ενός malware macOS που ονομάζεται GIMMICK, η οποία πιστεύεται ότι είναι ένα προσαρμοσμένο εργαλείο που χρησιμοποιείται από έναν κινεζικό παράγοντα κατασκοπείας γνωστό ως «Storm Cloud».
Δείτε επίσης: BitRAT malware: Εμφανίζεται ως Windows 10 license activator και μολύνει χρήστες
Το malware macOS ανακαλύφθηκε από ερευνητές της Volexity, καθώς το ανέσυραν από τη μνήμη RAM ενός MacBook Pro με macOS 11.6 (Big Sur), το οποίο είχε παραβιαστεί σε μια εκστρατεία κυβερνοκατασκοπείας στα τέλη του 2021.
Η έκθεση προσαρμοσμένου κακόβουλου λογισμικού που χρησιμοποιείται από εξελιγμένους παράγοντες απειλών δεν είναι συνηθισμένη. Αυτές οι ομάδες λειτουργούν πολύ προσεκτικά, αφήνοντας ένα ελάχιστο ίχνος και σκουπίζοντας τα υπολείμματα του κακόβουλου λογισμικού για να κρατήσουν τα εργαλεία τους μυστικά και να αποφύγουν τον εντοπισμό που βασίζεται στο IoC.
Ωστόσο, μερικές φορές ακόμη και οι πιο προηγμένοι κυβερνοεγκληματίες αφήνουν πίσω τους κακόβουλο λογισμικό που μπορεί στη συνέχεια να αναλυθεί από ερευνητές ασφαλείας, όπως συμβαίνει με το GIMMICK.
Το GIMMICK είναι ένα κακόβουλο λογισμικό πολλαπλών πλατφορμών γραμμένο σε Objective C (macOS) ή .NET και Delphi (Windows).
Όλες οι παραλλαγές χρησιμοποιούν την ίδια αρχιτεκτονική C2, διαδρομές αρχείων, μοτίβα συμπεριφοράς και καταχρώνται σε μεγάλο βαθμό τις υπηρεσίες του Google Drive, επομένως παρακολουθείται ως ένα εργαλείο παρά τις διαφορές στον κώδικα.
Το GIMMICK εκκινείται και εγκαθίσταται ως δυαδικό αρχείο με το όνομα «PLIST», συνήθως μιμούμενο μια εφαρμογή που χρησιμοποιείται πολύ στο μηχάνημα προορισμού.
Στη συνέχεια, το malware αρχικοποιείται εκτελώντας πολλά βήματα αποκωδικοποίησης δεδομένων και τελικά δημιουργεί μια περίοδο λειτουργίας στο Google Drive, χρησιμοποιώντας σκληρά κωδικοποιημένα διαπιστευτήρια OAuth2.
Δείτε ακόμα: ASUS: Το Cyclops Blink malware στοχεύει routers της εταιρείας
Μετά την προετοιμασία, το GIMMICK φορτώνει τρία στοιχεία κακόβουλου λογισμικού, τα DriveManager, FileManager και GCDTimerManager, με το πρώτο να είναι υπεύθυνο για τις παρακάτω ενέργειες:
- Διαχείριση των περιόδων σύνδεσης του Google Drive και του διακομιστή μεσολάβησης.
- Διατήρηση ενός τοπικού χάρτη της ιεραρχίας του καταλόγου του Google Drive στη μνήμη.
- Διαχείριση κλειδαριών για συγχρονισμό εργασιών στην περίοδο λειτουργίας του Google Drive.
- Χειρισμός εργασιών λήψης και μεταφόρτωσης από και προς την περίοδο λειτουργίας του Google Drive.
Το UUID κάθε μολυσμένου συστήματος χρησιμοποιείται ως αναγνωριστικό για τον κατάλογο του Google Drive που αντιστοιχεί σε αυτό.
Το FileManager διαχειρίζεται τον τοπικό κατάλογο όπου αποθηκεύονται οι πληροφορίες C2 και οι εργασίες εντολών και το GCDTimerManager αναλαμβάνει τη διαχείριση των διαφόρων αντικειμένων GCD.
Δείτε επίσης: Νέα ενημέρωση macOS 12.3 αχρηστεύει Mac με αλλαγμένα logic boards
Η Apple έχει επίσης διαθέσει νέες προστασίες σε όλες τις υποστηριζόμενες εκδόσεις macOS με νέες υπογραφές για το XProtect και το MRT, τα οποία θα μπορούν να αποκλείουν και να αφαιρούν το κακόβουλο λογισμικό από τις 17 Μαρτίου 2022. Για να βεβαιωθείτε ότι έχετε λάβει αυτές τις υπογραφές, ακολουθήστε τις οδηγίες της σελίδας υποστήριξης της Apple.
Για να αποτρέψετε το GIMMICK και παρόμοιο κακόβουλο λογισμικό από το να εισβάλει στο macOS σας, ξεκινήστε εφαρμόζοντας τις διαθέσιμες ενημερώσεις συστήματος για τη συσκευή σας, οι οποίες θα φέρουν επίσης τις πιο πρόσφατες υπογραφές εντοπισμού.
Στη συνέχεια, βεβαιωθείτε ότι το XProtect και το MRT είναι ενεργοποιημένα και λειτουργούν ενεργά στο σύστημα.
Τα προηγμένα μέτρα περιλαμβάνουν τη χρήση εργαλείων παρακολούθησης της κυκλοφορίας δικτύου και λύσεων EDR για την ανίχνευση malware στα τελικά σημεία.
