Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Nueva variante del malware chino Gimmick dirigido a usuarios de macOS

Nueva variante del malware chino Gimmick dirigido a usuarios de macOS

por Dragora

Los investigadores han revelado detalles de una variante macOS recientemente descubierta de un implante de malware desarrollado por un actor de amenazas de espionaje chino conocido por atacar organizaciones de ataque en toda Asia.

Al atribuir los ataques a un grupo rastreado como Storm Cloud , la firma de seguridad cibernética Volexity caracterizó el nuevo malware, denominado Gimmick , una «familia de malware multiplataforma rica en funciones que utiliza servicios de alojamiento en la nube pública (como Google Drive) para comandos y operaciones». canales de control (C2)».

La firma de ciberseguridad dijo que recuperó la muestra a través del análisis de memoria de una MacBook Pro comprometida con macOS 11.6 (Big Sur) como parte de una campaña de intrusión que tuvo lugar a fines de 2021.

«Storm Cloud es un actor de amenazas avanzado y versátil, que adapta su conjunto de herramientas para que coincida con los diferentes sistemas operativos utilizados por sus objetivos», dijeron en un informe los investigadores de Volexity Damien Cash, Steven Adair y Thomas Lancaster .

«Hacen uso de las utilidades integradas del sistema operativo, herramientas de código abierto e implantes de malware personalizados para lograr sus objetivos. Aprovechar las plataformas en la nube para C2, como el uso de Google Drive, aumenta la probabilidad de operar sin ser detectado por las soluciones de monitoreo de red».

A diferencia de su contraparte de Windows, que está codificado tanto en .NET como en Delphi, la versión de macOS está escrita en Objective C. Dejando de lado la elección de los lenguajes de programación, se sabe que las dos versiones del malware comparten la misma infraestructura C2 y patrones de comportamiento.

Una vez implementado, Gimmick se inicia como un demonio o en forma de una aplicación personalizada diseñada para hacerse pasar por un programa que el usuario objetivo ejecuta con frecuencia. El malware está configurado para comunicarse con su servidor C2 basado en Google Drive solo en días laborables para mezclarse aún más con el tráfico de red en el entorno de destino.

Además, la puerta trasera, además de recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, viene con su propia funcionalidad de desinstalación que le permite borrarse a sí misma de la máquina comprometida.

Para proteger a los usuarios contra el malware, Apple ha emitido nuevas firmas para su paquete de protección antimalware integrado conocido como XProtect a partir del 17 de marzo de 2022 para bloquear y eliminar las infecciones a través de su Herramienta de eliminación de malware (MRT).

«El trabajo involucrado en portar este malware y adaptar sus sistemas a un nuevo sistema operativo (macOS) no es tarea fácil y sugiere que el actor de amenazas detrás de él tiene buenos recursos, es experto y es versátil», dijeron los investigadores.

Fuente: https://thehackernews.com

You may also like

Dejar Comentario

Click to listen highlighted text!