Se ha descubierto una nueva variante de macOS de un implante de malware. El llamado malware Gimmick se atribuye a un grupo de amenazas, conocido como Nube de Tormenta. El malware Gimmick ha sido descrito como rico en funciones y multiplataforma., utilizando servicios de alojamiento en la nube pública, como Google Drive, por su mando y control (C2) infraestructura.
Truco de software malicioso para macOS: Lo que se sabe hasta ahora
Según los investigadores de Volexity, quién detalló el malware, Se ha observado que el grupo de amenaza Storm Cloud apunta a organizaciones tibetanas desde al menos 2018. Los ataques se lanzaron contra un subconjunto muy limitado de visitantes de más de dos docenas de sitios web tibetanos diferentes que los piratas informáticos habían logrado comprometer., su informe dijo. Los investigadores de Kaspersky también han observado ataques dirigidos similares que se remontan al mismo período..
También es de destacar que, a pesar de la falta de evidencia de una relación entre Storm Cloud y OceanLotus, hay similitudes en la forma en que ocurren los ataques. El análisis de Volexity se basa en una muestra recuperada a través de un análisis de memoria tomado de una MacBook Pro comprometida que ejecuta macOS 11.6 (Sur grande), que fue parte de una campaña a finales 2021.
El ataque se inicia engañando a la víctima potencial para que visite un sitio inicialmente comprometido por Storm Cloud.. Esto se hace agregando una nueva pieza de JavaScript a los sitios infectados de una manera que no parezca sospechosa..
El siguiente paso del ataque requiere que las víctimas instalen la carga útil engañándolas para que instalen una falsa actualización de Adobe Flash Player. Esto es lo que dijeron los investigadores en términos de cómo se muestra el mensaje a las víctimas.:
En las primeras versiones, los atacantes tenían una forma bastante básica de mostrar y mostrar el mensaje. A través del tiempo, este código evolucionó para soportar múltiples navegadores, incluyendo dispositivos móviles, con mensajes personalizados según el navegador utilizado. A pesar del soporte de dispositivos móviles en el código, Volexity solo ha identificado la entrega de cargas útiles de Windows para este aspecto particular de la campaña..
Cabe destacar que la variante de Windows de Gimmick está codificada en .NET y Depphi, mientras que la contraparte de macOS está escrita en Objective C. Aunque las dos variantes separadas están programadas en diferentes idiomas, ambos usan la misma infraestructura C2 y patrones de comportamiento.
Para resumir cómo se implementa Gimmick en un sistema comprometido, se inicia como un demonio o como una aplicación personalizada diseñada para parecerse a un programa legítimo. Entonces, el malware se comunicó con el servidor C2, que se basa en Google Drive. Esto se hace solo durante los días hábiles para que se mezcle con el tráfico regular de la red y no se detecte..
“La naturaleza de esta campaña puede parecer básica, pero los recursos para actualizar continuamente la infraestructura, escribir nuevo malware, y mantener estos ataques en más de una plataforma no debe subestimarse," los investigadores dijo en conclusión.
En Enero 2022, los investigadores detectaron un malware macOS previamente desconocido, con nombre en código DazzleSpy y MACMA. El ataque en sí se basa en un exploit de WebKit utilizado para comprometer a los usuarios de Mac.. La carga útil parece ser una nueva familia de malware, dirigido específicamente a macOS.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: