Uma nova variante do macOS de um implante de malware foi descoberta. O chamado malware Gimmick é atribuído a um grupo de ameaças, conhecido como nuvem de tempestade. O malware Gimmick foi descrito como rico em recursos e multiplataforma, usando serviços de hospedagem em nuvem pública, como o Google Drive, por seu comando e controle (C2) a infraestrutura.
Malware Gimmick para macOS: O que se sabe até agora
De acordo com pesquisadores da Volexity, quem detalhou o malware, o grupo de ameaça Storm Cloud foi observado visando organizações tibetanas desde pelo menos 2018. Os ataques foram lançados em um subconjunto muito limitado de visitantes de mais de duas dúzias de sites tibetanos diferentes que os hackers conseguiram comprometer, o relatório deles disse. Os pesquisadores da Kaspersky também observaram ataques direcionados semelhantes que datam do mesmo período.
Ressalta-se também que, apesar da falta de evidência de uma relação entre Storm Cloud e OceanLotus, há semelhanças na forma como os ataques ocorrem. A análise do Volexity é baseada em uma amostra recuperada por meio da análise de memória retirada de um MacBook Pro comprometido executando o macOS 11.6 (Big Sur), que fez parte de uma campanha no final 2021.
O ataque é iniciado enganando a vítima em potencial para visitar um site inicialmente comprometido pela Storm Cloud. Isso é feito adicionando uma nova parte de JavaScript aos sites infectados de uma maneira que não pareça suspeita.
A próxima etapa do ataque exige que as vítimas instalem a carga útil, enganando-as para instalar uma atualização de falso Adobe Flash Player. Isto é o que os pesquisadores disseram em termos de como a mensagem é exibida para as vítimas:
Nas primeiras versões, os invasores tinham uma maneira bastante básica de exibir e mostrar a mensagem. Hora extra, este código evoluiu para suportar vários navegadores, incluindo dispositivos móveis, com mensagens personalizadas de acordo com o navegador utilizado. Apesar do suporte de dispositivos móveis no código, A Volexity identificou apenas a entrega de cargas úteis do Windows para esse aspecto específico da campanha.
Vale ressaltar que a variante Windows do Gimmick é codificada em .NET e Depphi, enquanto a contraparte do macOS é escrita em Objective C. Mesmo que as duas variantes separadas sejam programadas em idiomas diferentes, ambos usam a mesma infraestrutura C2 e padrões comportamentais.
Para resumir como o Gimmick é implantado em um sistema comprometido, ele é lançado como um daemon ou como um aplicativo personalizado feito para parecer um programa legítimo. Então, o malware se comunicou com o servidor C2, que é baseado no Google Drive. Isso é feito apenas durante os dias úteis para que ele se misture com o tráfego de rede regular e permaneça sem ser detectado.
“A natureza desta campanha pode parecer básica, mas os recursos para atualizar continuamente a infraestrutura, escrever novo malware, e manter esses ataques em mais de uma plataforma não deve ser subestimado," Os pesquisadores disse em conclusão.
Em janeiro 2022, pesquisadores detectaram um malware macOS anteriormente desconhecido, codinome DazzleSpy e MACMA. O ataque em si é baseado em uma exploração do WebKit usada para comprometer usuários de Mac. A carga útil parece ser uma nova família de malware, visando especificamente o macOS.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: