Эксперты обнаружили кастомный вредонос GIMMICK группировки для macOS

Исследователи в области кибербезопасности из компании Volexity обнаружили новый вариант вредоносного ПО для macOS под названием GIMMICK, который предположительно используется китайской киберпреступной группировкой Storm Cloud.

Эксперты выявили вредоносное ПО в оперативной памяти MacBook Pro под управлением macOS 11.6 (Big Sur), который был скомпрометирован в ходе кампании кибершпионажа в конце 2021 года.

GIMMICK — многоплатформенное вредоносное ПО, написанное на языке Objective C (для macOS) или .NET и Delphi (для Windows). Все варианты вредоноса используют одну и ту же архитектуру командного сервера, пути к файлам, модели поведения и функции Google Диска. Поэтому они отслеживаются как один инструмент, несмотря на различия в коде.

GIMMICK запускается либо непосредственно пользователем, либо в качестве демона на системе, и устанавливается в виде двоичного файла под названием PLIST, обычно имитирующего активно используемое приложение на целевом устройстве.

Затем вредоносное ПО инициализируется, выполняя несколько шагов декодирования данных, и в конечном итоге устанавливает сеанс с Google Диском, используя встроенные учетные данные OAuth2.

После инициализации GIMMICK загружает три вредоносных компонента: DriveManager, FileManager и GCDTimerManager. Первый компонент отвечает за управление сеансами Google Диска, сохранение в памяти локальной карты иерархии каталогов Google Диска, управление блокировками для синхронизации задач в сеансе Google Диска и обработку загрузки и скачивания задач в сеанс Google Диска.

Аппаратный UUID каждой зараженной системы используется в качестве идентификатора соответствующего ему каталога Google Диска.

FileManager управляет локальным каталогом, в котором хранится информация командного сервера и задачи, а GCDTimerManager берет на себя управление различными объектами GCD.

«Из-за асинхронного характера работы вредоносного ПО выполнение команд требует поэтапного подхода. Хотя отдельные шаги выполняются асинхронно, все команды выполняются одинаково», — отметили эксперты.

Apple также развернула новые средства защиты для всех поддерживаемых версий macOS с новыми сигнатурами для XProtect и MRT, которые должны блокировать и удалять вредоносное ПО с 17 марта 2022 года.