En ny macOS-variant af et malware-implantat er blevet opdaget. Den såkaldte Gimmick-malware tilskrives en trusselgruppe, kendt som Storm Cloud. Gimmick-malwaren er blevet beskrevet som funktionsrig og multiplatform, ved hjælp af offentlige cloud-hostingtjenester, såsom Google Drev, for dens kommando-og-kontrol (C2) infrastruktur.
Gimmick macOS Malware: Hvad der er kendt So Far
Ifølge Volexity-forskere, hvem der beskrev malwaren, trusselsgruppen Storm Cloud er blevet observeret målrettet mod tibetanske organisationer i det mindste siden 2018. Angrebene blev lanceret på en meget begrænset undergruppe af besøgende på over to dusin forskellige tibetanske websteder, som hackerne havde formået at kompromittere, sagde deres rapport. Kaspersky-forskere har også observeret lignende målrettede angreb, der går tilbage til samme periode.
Det er også bemærkelsesværdigt, på trods af manglen på beviser for et forhold mellem Storm Cloud og OceanLotus, der er ligheder i måden angrebene opstår på. Volexitys analyse er baseret på en prøve gendannet gennem hukommelsesanalyse taget fra en kompromitteret MacBook Pro, der kører macOS 11.6 (Big Sur), som var en del af en kampagne sidst 2021.
Angrebet indledes ved at narre det potentielle offer til at besøge et websted, der oprindeligt kompromitteret af Storm Cloud. Dette gøres ved at tilføje et nyt stykke JavaScript til inficerede websteder på en måde, der ikke ser mistænkelig ud.
Det næste trin i angrebet kræver, at ofrene installerer nyttelasten ved at narre dem til at installere en falsk Adobe Flash Player opdatering. Dette er, hvad forskerne sagde i forhold til, hvordan beskeden vises til ofrene:
I de tidligste versioner, angriberne havde en ret grundlæggende måde at vise og vise beskeden på. Over tid, denne kode er udviklet til at understøtte flere browsere, herunder mobile enheder, med tilpassede beskeder i henhold til den anvendte browser. På trods af understøttelse af mobile enheder i koden, Volexity har kun identificeret levering af Windows-nyttelast til dette særlige aspekt af kampagnen.
Det er bemærkelsesværdigt, at Windows-varianten af Gimmick er kodet i .NET og Depphi, hvorimod macOS-modstykket er skrevet i mål C. Også selvom de to separate varianter er programmeret på forskellige sprog, de bruger begge den samme C2-infrastruktur og adfærdsmønstre.
For at opsummere, hvordan Gimmick er implementeret på et kompromitteret system, det er enten lanceret som en dæmon eller som en tilpasset app lavet til at ligne et legitimt program. Derefter, malwaren kommunikeret med C2-serveren, som er baseret på Google Drev. Dette gøres kun på arbejdsdage for at få det til at smelte sammen med almindelig netværkstrafik og forblive uopdaget.
"Kartenheden af denne kampagne kan virke grundlæggende, men ressourcerne til løbende at opdatere infrastrukturen, skrive ny malware, og opretholdelse af disse angreb på tværs af mere end én platform bør ikke undervurderes,”forskerne sagde afslutningsvis.
I januar 2022, forskere opdagede en hidtil ukendt macOS-malware, kodenavn DazzleSpy og MACMA. Selve angrebet er baseret på en WebKit-udnyttelse, der bruges til at kompromittere Mac-brugere. Nyttelasten ser ud til at være en ny malware-familie, specifikt målrettet macOS.