Pakar menemui perisian hasad tersuai GIMMICK untuk macOS

Helga SmithMac 24, 2022Kemas Kini Terakhir: Mac 25, 2022
1 bacaan minit

Penyelidik keselamatan siber volexity telah menemui varian baru malware macOS yang dipanggil GIMMICK yang dipercayai digunakan oleh kumpulan penjenayah siber China Storm Cloud.

Pakar telah mengenal pasti perisian hasad dalam RAM MacBook Pro yang menjalankan macOS 11.6 (Big Sur) yang telah dikompromi semasa kempen pengintipan siber pada lewat 2021.

GIMIK ialah perisian hasad berbilang platform yang ditulis dalam Objektif C (untuk macOS) atau .NET dan Delphi (untuk Windows). Semua varian perisian hasad menggunakan C yang sama&C seni bina, laluan fail, tingkah laku, dan Google Ciri pemanduan. Oleh itu, mereka dijejaki sebagai satu alat, walaupun terdapat perbezaan dalam kod.

GIMMICK dijalankan sama ada secara langsung oleh pengguna atau sebagai daemon pada sistem, dan dipasang sebagai fail binari yang dipanggil PLIST, biasanya mensimulasikan aplikasi yang digunakan secara aktif pada peranti sasaran.

Malware kemudian memulakan dirinya sendiri dengan mengambil beberapa langkah untuk menyahkod data dan akhirnya mewujudkan sesi dengan Google Drive menggunakan bukti kelayakan OAuth2 terbina dalam.

Setelah dimulakan, GIMMICK memuatkan tiga komponen berniat jahat: DriveManager, Pengurus Fail, dan GCDTimerManager. Komponen pertama bertanggungjawab untuk mengurus sesi Google Drive, menyimpan peta setempat hierarki direktori Google Drive dalam ingatan, mengurus kunci untuk menyegerakkan tugasan dalam sesi Google Drive, dan mengendalikan memuat naik dan memuat turun tugas ke dalam sesi Google Drive.

UUID perkakasan setiap sistem yang dijangkiti digunakan sebagai pengecam direktori Google Drive yang sepadan.

FileManager menguruskan direktori tempatan yang menyimpan C&C maklumat dan tugas, manakala GCDTimerManager menguruskan pelbagai objek GCD.

Disebabkan sifat tak segerak perisian hasad, pelaksanaan arahan memerlukan pendekatan berperingkat. Walaupun langkah individu dilaksanakan secara tidak segerak, semua arahan dilaksanakan dengan cara yang sama.Pakar menyatakan.
epal juga telah melancarkan perlindungan baharu untuk semua versi macOS yang disokong dengan tandatangan baharu untuk XProtect dan MRT, yang sepatutnya menyekat dan mengalih keluar perisian hasad mulai Mac 17, 2022.

Biar saya ingatkan anda itu Penggodam China menutup jejak mereka dan mengalih keluar perisian hasad beberapa hari sebelum pengesanan, dan juga itu Cynos perisian hasad daripada AppGallery menyusup sekurang-kurangnya 9.3 juta peranti Android.

Tag
Helga SmithMac 24, 2022Kemas Kini Terakhir: Mac 25, 2022
1 bacaan minit

Helga Smith

Saya sentiasa berminat dalam sains komputer, terutamanya keselamatan data dan tema, yang dipanggil pada masa kini "sains data", sejak awal remaja saya. Sebelum menyertai pasukan Pembuangan Virus sebagai ketua Editor, Saya bekerja sebagai pakar keselamatan siber di beberapa syarikat, termasuk salah seorang kontraktor Amazon. Satu lagi pengalaman: Saya ada mengajar di universiti Arden dan Reading.

Tinggalkan pesanan

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui cara data ulasan anda diproses.

Butang kembali ke atas