Gli studiosi di sicurezza informatica di Volexity hanno scoperto malware personalizzato precedentemente sconosciuto sviluppato per macOS che sostengono sia in grado di assumere il controllo dell'account Google Drive di un bersaglio.
Il malware è stato molto probabilmente sviluppato da Storm Cloud, un attore cinese di minacce di spionaggio informatico che, a giudicare dalla sua difficoltà, ha competenze e risorse eccellenti.
Dopo averlo recuperato da un MacBook Pro compromesso con macOS XNUMX (Big Sur), gli studiosi hanno chiamato il malware GIMMICK. È descritto come malware multipiattaforma, scritto in Objective C o .NET e Delphi, a seconda del sistema operativo a cui è destinato.
La soluzione di Apple
Una volta che GIMMICK ha infettato un punto fermo, stabilisce una sessione nell'archivio cloud di Google Drive, utilizzando credenziali OAuth2 crittografate. Ora carica 3 elementi dannosi separati: DriveManager, FileManager e GCDTimerManager.
Questi danno agli aggressori la possibilità di dirigere Google Drive e sessioni proxy, tenere in memoria una mappa locale della gerarchia di directory di Google Drive, bloccare diretti per la sincronizzazione dei lavori nella sessione di Drive e caricare e caricare direttamente i lavori.
I comandi supportati da GIMMICK, pubblicati in modo più dettagliato, includono la trasmissione di informazioni di sistema di base, il caricamento di file sul server di comando e controllo (C2), il caricamento di file sull'endpoint dell'utente, l'esecuzione di un comando shell, la scrittura di output in C2 e la sovrascrittura del periodo di lavoro dell'utente. informazione.
"A causa della natura asincrona dell'operazione del malware, l'esecuzione dei comandi richiede un approccio graduale. Sebbene i singoli passaggi avvengano in modo asincrono, ogni comando segue la stessa cosa", ha spiegato Volexity.
Per combattere il malware, Apple ha aggiunto nuove protezioni a ogni versione supportata di macOS, sotto forma di nuove firme per le soluzioni antivirus XProtect e MRT. Si consiglia a tutti gli utenti di visitare la pagina del supporto Apple e di seguire le istruzioni ivi contenute.
Il malware è una scoperta, afferma la pubblicazione. In generale, in campagne di cyber spionaggio come questa, gli attori delle minacce si assicurano di non lasciare traccia della loro presenza e in genere rimuovono qualsiasi codice utilizzato.
Via: BleepingComputer