Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Эксперты обнаружили кастомный вредонос GIMMICK группировки для macOS

24/03/22

hackmacИсследователи в области кибербезопасности из компании Volexity обнаружили новый вариант вредоносного ПО для macOS под названием GIMMICK, который предположительно используется китайской киберпреступной группировкой Storm Cloud.

Эксперты выявили вредоносное ПО в оперативной памяти MacBook Pro под управлением macOS 11.6 (Big Sur), который был скомпрометирован в ходе кампании кибершпионажа в конце 2021 года.

GIMMICK — многоплатформенное вредоносное ПО, написанное на языке Objective C (для macOS) или .NET и Delphi (для Windows). Все варианты вредоноса используют одну и ту же архитектуру командного сервера, пути к файлам, модели поведения и функции Google Диска. Поэтому они отслеживаются как один инструмент, несмотря на различия в коде.

GIMMICK запускается либо непосредственно пользователем, либо в качестве демона на системе, и устанавливается в виде двоичного файла под названием PLIST, обычно имитирующего активно используемое приложение на целевом устройстве.

Затем вредоносное ПО инициализируется, выполняя несколько шагов декодирования данных, и в конечном итоге устанавливает сеанс с Google Диском, используя встроенные учетные данные OAuth2.

После инициализации GIMMICK загружает три вредоносных компонента: DriveManager, FileManager и GCDTimerManager. Первый компонент отвечает за управление сеансами Google Диска, сохранение в памяти локальной карты иерархии каталогов Google Диска, управление блокировками для синхронизации задач в сеансе Google Диска и обработку загрузки и скачивания задач в сеанс Google Диска.

Аппаратный UUID каждой зараженной системы используется в качестве идентификатора соответствующего ему каталога Google Диска.

FileManager управляет локальным каталогом, в котором хранится информация командного сервера и задачи, а GCDTimerManager берет на себя управление различными объектами GCD.

«Из-за асинхронного характера работы вредоносного ПО выполнение команд требует поэтапного подхода. Хотя отдельные шаги выполняются асинхронно, все команды выполняются одинаково», — отметили эксперты.

Apple также развернула новые средства защиты для всех поддерживаемых версий macOS с новыми сигнатурами для XProtect и MRT, которые должны блокировать и удалять вредоносное ПО с 17 марта 2022 года.

Темы:КитайУгрозыmacOS
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...