È stata scoperta una nuova variante macOS di un impianto di malware. Il cosiddetto malware Gimmick è attribuito a un gruppo di minacce, noto come Nuvola Tempesta. Il malware Gimmick è stato descritto come ricco di funzionalità e multipiattaforma, utilizzando servizi di hosting su cloud pubblico, come Google Drive, per il suo comando e controllo (C2) infrastruttura.
Malware macOS espediente: Quello che si sa finora
Secondo i ricercatori di Volexity, che ha dettagliato il malware, almeno da allora è stato osservato che il gruppo di minacce Storm Cloud prende di mira le organizzazioni tibetane 2018. Gli attacchi sono stati lanciati a un sottogruppo molto limitato di visitatori di oltre due dozzine di diversi siti Web tibetani che gli hacker erano riusciti a compromettere, diceva il loro rapporto. I ricercatori di Kaspersky hanno anche osservato attacchi mirati simili che risalgono allo stesso periodo.
È anche degno di nota, nonostante la mancanza di prove di una relazione tra Storm Cloud e OceanLotus, ci sono somiglianze nel modo in cui si verificano gli attacchi. L'analisi di Volexity si basa su un campione recuperato tramite l'analisi della memoria prelevata da un MacBook Pro compromesso con macOS 11.6 (Grande Sur), che faceva parte di una campagna in ritardo 2021.
L'attacco viene avviato inducendo la potenziale vittima a visitare un sito inizialmente compromesso da Storm Cloud. Questo viene fatto aggiungendo un nuovo pezzo di JavaScript ai siti infetti in un modo che non sembri sospetto.
Il passaggio successivo dell'attacco richiede alle vittime di installare il carico utile inducendole all'installazione un falso aggiornamento di Adobe Flash Player. Questo è ciò che hanno affermato i ricercatori in termini di come il messaggio viene visualizzato alle vittime:
Nelle prime versioni, gli aggressori avevano un modo abbastanza semplice di visualizzare e mostrare il messaggio. Col tempo, questo codice si è evoluto per supportare più browser, compresi i dispositivi mobili, con messaggi personalizzati in base al browser utilizzato. Nonostante il supporto dei dispositivi mobili nel codice, Volexity ha identificato la consegna dei payload di Windows solo per questo particolare aspetto della campagna.
È interessante notare che la variante Windows di Gimmick è codificata in .NET e Depphi, mentre la controparte macOS è scritta nell'Obiettivo C. Anche se le due varianti separate sono programmate in lingue diverse, entrambi utilizzano la stessa infrastruttura C2 e modelli comportamentali.
Per riassumere come Gimmick viene distribuito su un sistema compromesso, viene lanciato come demone o come app personalizzata fatta per sembrare un programma legittimo. Poi, il malware ha comunicato con il server C2, che si basa su Google Drive. Questo viene fatto solo durante i giorni lavorativi per integrarsi con il normale traffico di rete e rimanere inosservato.
“La natura di questa campagna può sembrare elementare, ma le risorse per aggiornare continuamente l'infrastruttura, scrivere nuovo malware, e mantenere questi attacchi su più di una piattaforma non dovrebbe essere sottovalutato,”i ricercatori detto in conclusione.
A gennaio 2022, i ricercatori hanno rilevato un malware macOS precedentemente sconosciuto, nome in codice DazzleSpy e MACMA. L'attacco stesso si basa su un exploit WebKit utilizzato per compromettere gli utenti Mac. Il carico utile sembra essere una nuova famiglia di malware, specificamente rivolto a macOS.