Une nouvelle variante macOS d'un implant de malware a été découverte. Le soi-disant logiciel malveillant Gimmick est attribué à un groupe de menaces, connu sous le nom de Storm Cloud. Le malware Gimmick a été décrit comme riche en fonctionnalités et multiplateforme, utiliser les services d'hébergement cloud public, tels que Google Drive, pour son commandement et son contrôle (C2) Infrastructure.
Gimmick macOS Malware: Ce qui est connu So Far
Selon les chercheurs de Volexity, qui a détaillé le malware, le groupe de menace Storm Cloud a été observé ciblant des organisations tibétaines depuis au moins 2018. Les attaques ont été lancées contre un sous-ensemble très limité de visiteurs de plus de deux douzaines de sites Web tibétains différents que les pirates avaient réussi à compromettre., leur rapport dit. Les chercheurs de Kaspersky ont également observé des attaques ciblées similaires qui remontent à la même période.
Il est également à noter que, malgré l'absence de preuves d'une relation entre Storm Cloud et OceanLotus, il y a des similitudes dans la façon dont les attaques se produisent. L'analyse de Volexity est basée sur un échantillon récupéré grâce à l'analyse de la mémoire provenant d'un MacBook Pro compromis exécutant macOS 11.6 (Grand Sur), qui faisait partie d'une campagne à la fin 2021.
L'attaque est lancée en incitant la victime potentielle à visiter un site initialement compromis par Storm Cloud. Cela se fait en ajoutant un nouveau morceau de JavaScript aux sites infectés d'une manière qui ne semble pas suspecte.
La prochaine étape de l'attaque nécessite que les victimes installent la charge utile en les incitant à installer un faux Adobe Flash Player Update. C'est ce que les chercheurs ont dit en termes de la façon dont le message est affiché aux victimes:
Dans les premières versions, les attaquants avaient une manière assez basique d'afficher et de montrer le message. Heures supplémentaires, ce code a évolué pour prendre en charge plusieurs navigateurs, y compris les appareils mobiles, avec des messages personnalisés selon le navigateur utilisé. Malgré la prise en charge des appareils mobiles dans le code, Volexity n'a identifié la livraison de payloads Windows que pour cet aspect particulier de la campagne.
Il est à noter que la variante Windows de Gimmick est codée en .NET et Depphi, alors que l'homologue macOS est écrit en Objective C. Même si les deux variantes distinctes sont programmées dans des langues différentes, ils utilisent tous les deux la même infrastructure C2 et les mêmes modèles de comportement.
Pour résumer comment Gimmick est déployé sur un système compromis, il est soit lancé en tant que démon, soit en tant qu'application personnalisée conçue pour ressembler à un programme légitime. Puis, le malware a communiqué avec le serveur C2, qui est basé sur Google Drive. Cela se fait uniquement pendant les jours ouvrables pour le faire se fondre dans le trafic réseau régulier et rester non détecté.
"La nature de cette campagne peut sembler basique, mais les ressources pour mettre à jour en permanence l'infrastructure, écrire de nouveaux logiciels malveillants, et maintenir ces attaques sur plus d'une plate-forme ne doit pas être sous-estimée," les chercheurs dit en conclusion.
En janvier 2022, les chercheurs ont détecté un malware macOS jusque-là inconnu, nom de code DazzleSpy et MACMA. L'attaque elle-même est basée sur un exploit WebKit utilisé pour compromettre les utilisateurs de Mac. La charge utile semble être une nouvelle famille de logiciels malveillants, ciblant spécifiquement macOS.