現在macOSユーザーをターゲットにしている新しいGimmickマルウェア

マルウェアインプラントの新しいmacOSバリアントが発見されました. いわゆるギミックマルウェアは脅威グループに起因します, ストームクラウドとして知られています. Gimmickマルウェアは、機能が豊富でマルチプラットフォームであると説明されています, パブリッククラウドホスティングサービスの使用, Googleドライブなど, そのコマンドアンドコントロールのために (C2) インフラストラクチャー.

GimmickmacOSマルウェア: これまでに知られていること

Volexityの研究者によると, マルウェアの詳細を誰が, Storm Cloudの脅威グループは、少なくともチベットの組織を標的にしていることが観察されています。 2018. 攻撃は、ハッカーがなんとか侵害した20を超えるさまざまなチベットのWebサイトへの非常に限られた訪問者のサブセットで開始されました。, 彼らの報告によると. Kasperskyの研究者は、同じ時期にさかのぼる同様の標的型攻撃も観察しています。.

また、注目に値する, StormCloudとOceanLotusの関係の証拠がないにもかかわらず, 攻撃の発生方法には類似点があります. Volexityの分析は、macOSを実行している侵害されたMacBookProから取得したメモリ分析を通じて回収されたサンプルに基づいています。 11.6 (ビッグ・サー), 後半のキャンペーンの一部でした 2021.

攻撃は、潜在的な被害者をだまして、最初にStormCloudによって侵害されたサイトにアクセスさせることによって開始されます。. これは、疑わしくない方法で感染したサイトに新しいJavaScriptを追加することによって行われます。.

攻撃の次のステップでは、被害者をだましてインストールさせることにより、ペイロードをインストールする必要があります 偽のAdobeFlashPlayerアップデート. これは、メッセージが被害者にどのように表示されるかという観点から研究者が言ったことです:

初期のバージョンでは, 攻撃者は、メッセージを表示および表示するためのかなり基本的な方法を持っていました. 時間とともに, このコードは、複数のブラウザをサポートするように進化しました, モバイルデバイスを含む, 使用するブラウザに応じてカスタマイズされたメッセージ. コードでのモバイルデバイスのサポートにもかかわらず, Volexityは、キャンペーンのこの特定の側面に対するWindowsペイロードの配信のみを特定しました.

GimmickのWindowsバリアントが.NETとDepphiでコーディングされていることは注目に値します, 一方、macOSの対応物はObjectiveCで書かれています. 2つの別々のバリアントが異なる言語でプログラムされている場合でも, どちらも同じC2インフラストラクチャと動作パターンを使用しています.

侵害されたシステムにGimmickがどのように配備されているかを要約する, デーモンとして、または正規のプログラムのように見えるようにカスタマイズされたアプリとして起動されます. それで, マルウェアはC2サーバーと通信しました, これはGoogleドライブに基づいています. これは、通常のネットワークトラフィックに溶け込み、検出されないようにするために、営業日中にのみ実行されます。.

「このキャンペーンの性質は基本的なように見えるかもしれません, しかし、インフラストラクチャを継続的に更新するためのリソース, 新しいマルウェアを書く, 複数のプラットフォームにわたってこれらの攻撃を維持することは過小評価されるべきではありません,」研究者 結論として言った.

1月に 2022, 研究者は、これまで知られていなかったmacOSマルウェアを検出しました, コードネーム DazzleSpyとMACMA. 攻撃自体は、Macユーザーを危険にさらすために使用されるWebKitエクスプロイトに基づいています. ペイロードは新しいマルウェアファミリーのようです, 特にmacOSをターゲットに.