A finales de 2021, una empresa de respuesta a incidentes e inteligencia sobre amenazas observó un atacante chino que utilizaba una variante del malware conocido como Gimmick para usuarios de macOS.
El APT (Advanced Persistent Threat) chino, conocido como Storm Cloud, se decica a actividades de ciberespionaje selectivo contra organizaciones asiaticas. En sus ataques, el grupo se basa en utilidades integradas, malware personalizado y herramientas de código abierto.
Gimmick es una familia de malware multiplataforma que depende de los servicios en la nube, haciendo uso de Command and Control (C&C) y que proporciona a los atacantes una amplia gama de capacidades.
La variante de macOS se ha identificado en un MacBook Pro que ejecuta macOS 11.6 (Big Sur), se encuentra escrita principalmente en Objective C, mientras que las versiones de Windows observadas anteriormente estaban construidas en .NET y Delphi. Todas las variantes, sin embargo, comparten la misma arquitectura de C&C, el comportamiento y las rutas de los archivos.
Gimmick, según los investigadores, estaba configurado para comunicarse únicamente con su servidor de C&C basado en Google Drive, y sólo durante los días laborables, para mezclarse con el tráfico de red de la organización objetivo. El análisis del malware muestra que su funcionamiento es altamente asíncrono y que los atacantes mantienen un directorio de Google Drive para cada uno de los hosts infectados.
El malware puede recibir comandos de C&C para recoger información del sistema, cargar o descargar archivos y ejecutar comandos de shell, así como para realizar otras operaciones de C&C. Los investigadores señalan que es una familia de malware compleja, principalmente debido a su diseño asíncrono, y su portabilidad a macOS indica que Storm Cloud es un enemigo bien preparado y versátil.
La semana pasada, Apple lanzó nuevas firmas para XProtect y MRT para proteger los Macs de Gimmick.
Mas información:
New Variant of Chinese Gimmick Malware Targeting macOS Users
Comentarios recientes