Strokovnjaki so odkrili prilagojeno zlonamerno programsko opremo GIMMICK za macOS
Volexity raziskovalci kibernetske varnosti so odkrili nova različica zlonamerne programske opreme macOS, imenovana GIMMICK, ki naj bi jo uporabljala kitajska kibernetska kriminalna skupina Storm Cloud.
Strokovnjaki so odkrili zlonamerno programsko opremo v RAM-u MacBook Pro z operacijskim sistemom macOS 11.6 (Big Sur) ki je bil pozno ogrožen med kibernetsko vohunsko kampanjo 2021.
GIMMICK je zlonamerna programska oprema za več platform, napisana v Objective C (za macOS) ali .NET in Delphi (za Windows). Vse različice zlonamerne programske opreme uporabljajo isti C&C arhitektura, poti datotek, vedenja, in Google Funkcije pogona. Zato, spremljajo se kot eno orodje, kljub razlikam v kodi.
GIMMICK izvaja neposredno uporabnik ali kot demon v sistemu, in je nameščen kot binarna datoteka, imenovana PLIST, običajno simulira aktivno uporabljeno aplikacijo na ciljni napravi.
Zlonamerna programska oprema se nato inicializira tako, da izvede več korakov za dekodiranje podatkov in na koncu vzpostavi sejo z Google Drive z uporabo vgrajenih poverilnic OAuth2.
Ko je inicializiran, GIMMICK naloži tri zlonamerne komponente: DriveManager, FileManager, in GCDTimerManager. Prva komponenta je odgovorna za upravljanje sej Google Drive, ohranjanje lokalnega zemljevida hierarhije imenika Google Drive v pomnilniku, upravljanje zaklepanja za sinhroniziranje opravil v seji Google Drive, ter obravnavanje nalog nalaganja in prenašanja v sejo Google Drive.
UUID strojne opreme vsakega okuženega sistema se uporablja kot identifikator njegovega ustreznega imenika Google Drive.
FileManager upravlja lokalni imenik, ki shranjuje C&C informacije in naloge, medtem ko GCDTimerManager skrbi za upravljanje različnih objektov GCD.
Naj vas spomnim na to Kitajski hekerji zakrijejo sledi in odstranijo zlonamerno programsko opremo nekaj dni pred odkritjem, in tudi to Cynos zlonamerna programska oprema iz AppGallery infiltrirana najmanj 9.3 milijonov naprav Android.
