Er is een nieuwe macOS-variant van een malware-implantaat ontdekt. De zogenaamde Gimmick-malware wordt toegeschreven aan een dreigingsgroep, bekend als Storm Cloud. De Gimmick-malware is beschreven als feature-rijk en multi-platform, het gebruik van openbare cloud-hostingservices, zoals Google Drive, voor zijn command-and-control (C2) infrastructuur.
Gimmick macOS Malware: Wat is er bekend So Far
Volgens Volexity-onderzoekers, wie heeft de malware gedetailleerd, de Storm Cloud-bedreigingsgroep is sinds ten minste geobserveerd tegen Tibetaanse organisaties 2018. De aanvallen werden gelanceerd bij een zeer beperkte subset van bezoekers van meer dan twee dozijn verschillende Tibetaanse websites die de hackers hadden weten te compromitteren, hun rapport zei:. Onderzoekers van Kaspersky hebben ook soortgelijke gerichte aanvallen waargenomen die dateren uit dezelfde periode.
Het is ook opmerkelijk dat, ondanks het gebrek aan bewijs van een relatie tussen Storm Cloud en OceanLotus, er zijn overeenkomsten in de manier waarop de aanvallen plaatsvinden. De analyse van Volexity is gebaseerd op een voorbeeld dat is teruggevonden via geheugenanalyse van een gecompromitteerde MacBook Pro met macOS 11.6 (Grote Sur), die eind vorig jaar deel uitmaakte van een campagne 2021.
De aanval wordt geïnitieerd door het potentiële slachtoffer te misleiden om een site te bezoeken die aanvankelijk door Storm Cloud was aangetast. Dit wordt gedaan door een nieuw stukje JavaScript toe te voegen aan geïnfecteerde sites op een manier die er niet verdacht uitziet.
De volgende stap van de aanval vereist dat slachtoffers de payload installeren door ze te misleiden om te installeren een nep Adobe Flash Player-update. Dit is wat de onderzoekers zeiden in termen van hoe het bericht wordt weergegeven aan slachtoffers:
In de vroegste versies, de aanvallers hadden een vrij eenvoudige manier om het bericht weer te geven en te tonen. Na een tijdje, deze code is geëvolueerd om meerdere browsers te ondersteunen, inclusief mobiele apparaten, met aangepaste berichten volgens de gebruikte browser. Ondanks de ondersteuning van mobiele apparaten in de code, Volexity heeft alleen de levering van Windows-payloads geïdentificeerd voor dit specifieke aspect van de campagne.
Het is opmerkelijk dat de Windows-variant van Gimmick is gecodeerd in .NET en Depphi, terwijl de macOS-tegenhanger is geschreven in Objective C. Ook al zijn de twee afzonderlijke varianten in verschillende talen geprogrammeerd, ze gebruiken allebei dezelfde C2-infrastructuur en gedragspatronen.
Om samen te vatten hoe Gimmick wordt ingezet op een gecompromitteerd systeem, het wordt ofwel gelanceerd als een daemon of als een aangepaste app die is gemaakt om eruit te zien als een legitiem programma. Dan, de malware communiceerde met de C2-server, die is gebaseerd op Google Drive. Dit wordt alleen tijdens werkdagen gedaan om het op te laten gaan in het reguliere netwerkverkeer en onopgemerkt te blijven.
“De aard van deze campagne lijkt misschien eenvoudig, maar de middelen om de infrastructuur continu bij te werken, schrijf nieuwe malware, en het onderhouden van deze aanvallen op meer dan één platform mag niet worden onderschat," de onderzoekers zei tot slot.
In januari 2022, onderzoekers ontdekten een voorheen onbekende macOS-malware, codenaam DazzleSpy en MACMA. De aanval zelf is gebaseerd op een WebKit-exploit die wordt gebruikt om Mac-gebruikers te compromitteren. De payload lijkt een nieuwe malwarefamilie te zijn, specifiek gericht op macOS.