Cybersicherheitsforscher von Volexity haben zuvor unbekannte benutzerdefinierte Malware entdeckt, die für macOS entwickelt wurde und von der sie behaupten, dass sie in der Lage ist, die Kontrolle über das Google Drive-Konto eines Ziels zu übernehmen.

Die Malware wurde höchstwahrscheinlich von Storm Cloud entwickelt, einem chinesischen Cyberspionage-Bedrohungsakteur, der, gemessen an seiner Schwierigkeit, über hervorragende Fähigkeiten und Ressourcen verfügt.

Nach der Wiederherstellung von einem kompromittierten MacBook Pro mit macOS XNUMX (Big Sur) nannten Wissenschaftler die Malware GIMMICK. Es wird als plattformübergreifende Malware beschrieben, geschrieben in Objective C oder .NET und Delphi, je nach Betriebssystem, auf das es abzielt.

Apples Lösung

Sobald GIMMICK einen Punkt infiziert, baut es mit verschlüsselten OAuth2-Anmeldeinformationen eine Sitzung zum Cloud-Speicher von Google Drive auf. Jetzt lädt es 3 separate bösartige Elemente: DriveManager, FileManager und GCDTimerManager.

Diese geben Angreifern die Möglichkeit, Google Drive- und Proxy-Sitzungen zu leiten, eine lokale Karte der Google Drive-Verzeichnishierarchie im Speicher zu halten, direkte Sperren für die Jobsynchronisierung in der Drive-Sitzung und direkte Uploads und Upload-Jobs herunterzuladen.

Von GIMMICK unterstützte Befehle, die ausführlicher veröffentlicht wurden, umfassen das Übertragen von Basissysteminformationen, das Hochladen von Dateien auf den Befehls- und Steuerungsserver (C2), das Hochladen von Dateien auf den Benutzerendpunkt, das Ausführen eines Shell-Befehls, das Schreiben der Ausgabe an C2 und das Überschreiben der Arbeitszeit des Benutzers. Information.

„Aufgrund der asynchronen Natur des Malware-Betriebs erfordert die Befehlsausführung einen schrittweisen Ansatz. Während die einzelnen Schritte asynchron ablaufen, läuft jeder Befehl gleich ab“, erklärt Volexity.

Um Malware zu bekämpfen, hat Apple jeder unterstützten Version von macOS neue Schutzmaßnahmen in Form neuer Signaturen für die Antivirenlösungen XProtect und MRT hinzugefügt. Jedem Benutzer wird empfohlen, die Support-Seite von Apple zu besuchen und den dortigen Anweisungen zu folgen.

Malware ist eine Entdeckung, behauptet die Veröffentlichung. Im Allgemeinen stellen Bedrohungsakteure bei Cyberspionagekampagnen wie dieser sicher, dass sie keine Spuren ihrer Anwesenheit hinterlassen und in der Regel jeglichen verwendeten Code entfernen.

Via: BleepingComputer

Teilen Sie es