GIMMICK Malware
Infosec-Forscher haben eine bisher unbekannte Malware entdeckt, die auf macOS-Geräte abzielt. Die als GIMMICK-Malware verfolgte Bedrohung wurde dem bösartigen Arsenal einer chinesischen Cyberspionage-Gruppe namens Storm Cloud zugeschrieben. Details über die Bedrohung wurden in einem Bericht von Forschern veröffentlicht, denen es gelang, die Malware aus dem Arbeitsspeicher eines MacBook Pro-Geräts zu extrahieren. Es wird geschätzt, dass das Gerät im Rahmen einer Spionagekampagne Ende 2021 infiziert wurde.
Technische Details
Die GIMMICK-Malware ist eine plattformübergreifende Bedrohung. Seine macOS-Varianten werden mit Objective C geschrieben, während die auf Windows ausgerichteten mit .NET und Delphi erstellt werden. Trotz gewisser Codeunterschiede weisen alle Varianten dieselben Verhaltensmuster, Command-and-Control (C2, C&C)-Infrastruktur und Dateipfade auf. Zu beachten ist auch, dass die Malware die Dienste von Google Drive stark missbraucht.
Nach der Bereitstellung auf den Zielsystemen lädt GIMMICK drei separate Malware-Komponenten – DriveManager, FileManager und GCDTimerManager. Die Namen der Komponenten spiegeln ihre Aufgaben und Funktionalitäten wider. FileManager verwaltet das lokale Verzeichnis, das die C2-Informationen und die Daten enthält, die sich auf die Befehlsaufgaben beziehen. GCDTimerManger überwacht die Verwaltung der benötigten GCD-Objekte. DriveManager hingegen ist für die verschiedenen Aktionen im Zusammenhang mit Google Drive verantwortlich. Genauer gesagt verwaltet es die Google Drive- und Proxy-Sitzungen, verwaltet eine lokale Karte der Hierarchie des spezifischen Google Drive-Verzeichnisses, verarbeitet alle Download- und Upload-Aufgaben über die Google Drive-Sitzung und vieles mehr.
Drohende Befehle
Laut den Forschern erfordert die asynchrone Natur der gesamten GIMMICK-Malware-Operation einen abgestuften Ansatz für die Befehlsausführung. Diese Befehle werden AES-verschlüsselt an das System übertragen und sind insgesamt sieben. Der Angreifer kann die Malware anweisen, Basissysteminformationen über das angegriffene Gerät zu übertragen, Dateien auf die C2-Server hochzuladen oder ausgewählte Dateien auf das infizierte System herunterzuladen, Shell-Befehle auszuführen und vieles mehr.
