Eine neue macOS-Variante eines Malware-Implantats wurde entdeckt. Die sogenannte Gimmick-Malware wird einer Bedrohungsgruppe zugeordnet, bekannt als Sturmwolke. Die Gimmick-Malware wurde als funktionsreich und plattformübergreifend beschrieben, Nutzung öffentlicher Cloud-Hosting-Dienste, wie Google Drive, für seine Befehls-und-Kontrolle (C2) Infrastruktur.
Gimmick macOS-Malware: Was ist bis jetzt bekannt
Laut Volexity-Forschern, der die Malware detailliert beschrieben hat, Die Storm Cloud-Bedrohungsgruppe wurde mindestens seitdem beobachtet, als sie auf tibetische Organisationen abzielte 2018. Die Angriffe richteten sich gegen eine sehr begrenzte Gruppe von Besuchern von über zwei Dutzend verschiedenen tibetischen Websites, die die Hacker kompromittieren konnten, Ihr Bericht sagte. Kaspersky-Forscher haben auch ähnliche gezielte Angriffe beobachtet, die aus demselben Zeitraum stammen.
Das ist auch bemerkenswert, trotz des Mangels an Beweisen für eine Beziehung zwischen Storm Cloud und OceanLotus, Es gibt Ähnlichkeiten in der Art und Weise, wie die Angriffe auftreten. Die Analyse von Volexity basiert auf einer Probe, die durch eine Speicheranalyse wiederhergestellt wurde, die von einem kompromittierten MacBook Pro mit macOS stammt 11.6 (Big Sur), was spät Teil einer Kampagne war 2021.
Der Angriff wird initiiert, indem das potenzielle Opfer dazu verleitet wird, eine Website zu besuchen, die ursprünglich von Storm Cloud kompromittiert wurde. Dies geschieht, indem infizierten Websites ein neues Stück JavaScript auf eine Weise hinzugefügt wird, die nicht verdächtig aussieht.
Im nächsten Schritt des Angriffs müssen die Opfer die Payload installieren, indem sie sie zur Installation verleiten eine Fälschung Adobe Flash Player-Update. Dies sagten die Forscher in Bezug darauf, wie die Nachricht den Opfern angezeigt wird:
In den frühesten Versionen, Die Angreifer hatten eine ziemlich einfache Art, die Nachricht anzuzeigen und anzuzeigen. Im Laufe der Zeit, Dieser Code wurde entwickelt, um mehrere Browser zu unterstützen, einschließlich mobiler Geräte, mit angepassten Meldungen je nach verwendetem Browser. Trotz der Unterstützung von Mobilgeräten im Code, Volexity hat nur die Bereitstellung von Windows-Payloads für diesen speziellen Aspekt der Kampagne identifiziert.
Es ist bemerkenswert, dass die Windows-Variante von Gimmick in .NET und Depphi codiert ist, während das macOS-Pendant in Objective C geschrieben ist. Auch wenn die beiden getrennten Varianten in unterschiedlichen Sprachen programmiert sind, beide verwenden dieselbe C2-Infrastruktur und dieselben Verhaltensmuster.
Um zusammenzufassen, wie Gimmick auf einem kompromittierten System bereitgestellt wird, Es wird entweder als Daemon oder als angepasste App gestartet, die wie ein legitimes Programm aussieht. Dann, die Malware kommunizierte mit dem C2-Server, die auf Google Drive basiert. Dies geschieht nur an Werktagen, damit es sich in den normalen Netzwerkverkehr einfügt und unentdeckt bleibt.
„Die Art dieser Kampagne mag einfach erscheinen, aber die Ressourcen, um die Infrastruktur kontinuierlich zu aktualisieren, neue Malware schreiben, und diese Angriffe über mehr als eine Plattform hinweg aufrechtzuerhalten, sollte nicht untertrieben werden," die Forscher sagte abschließend.
Im Januar 2022, Forscher entdeckten eine bisher unbekannte macOS-Malware, Codename DazzleSpy und MACMA. Der Angriff selbst basiert auf einem WebKit-Exploit, mit dem Mac-Benutzer kompromittiert wurden. Die Payload scheint eine neue Malware-Familie zu sein, speziell auf macOS ausgerichtet.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: