GIMMICK Malware

Un logiciel malveillant jusque-là inconnu ciblant les appareils macOS a été découvert par des chercheurs d'infosec. Considérée comme un logiciel malveillant GIMMICK, la menace a été attribuée au fait qu'elle faisait partie de l'arsenal malveillant d'un groupe de cyberespionnage chinois connu sous le nom de Storm Cloud. Des détails sur la menace ont été publiés dans un rapport de chercheurs, qui ont pu extraire le logiciel malveillant de la RAM d'un appareil MacBook Pro. On estime que l'appareil a été infecté dans le cadre d'une campagne d'espionnage qui a eu lieu fin 2021.

Détails techniques

Le malware GIMMICK est une menace multiplateforme. Ses variantes macOS sont écrites en Objective C tandis que celles ciblant Windows sont créées en utilisant .NET et Delphi. Malgré la présence de certaines différences de code, toutes les variantes présentent les mêmes modèles de comportement, infrastructure de commande et de contrôle (C2, C&C) et chemins de fichiers. Il convient également de noter que le malware abuse fortement des services de Google Drive.

Après avoir été déployé sur les systèmes ciblés, GIMMICK charge trois composants malveillants distincts : DriveManager, FileManager et GCDTimerManager. Les noms des composants reflètent leurs tâches et fonctionnalités. FileManager régit le répertoire local contenant les informations C2 et les données liées aux tâches de commande. GCDTimerManger supervise la gestion des objets GCD nécessaires. DriveManager, quant à lui, est responsable des différentes actions liées à Google Drive. Plus précisément, il gère les sessions Google Drive et prox, maintient une carte locale de la hiérarchie du répertoire Google Drive spécifique, gère toutes les tâches de téléchargement et de téléchargement via la session Google Drive, et plus encore.

Commandes menaçantes

Selon les chercheurs, la nature asynchrone de l'ensemble de l'opération du logiciel malveillant GIMMICK nécessite une approche par étapes pour l'exécution des commandes. Ces commandes sont transmises au système sous forme cryptée AES et sont au nombre de sept au total. L'auteur de la menace peut demander au logiciel malveillant de transmettre des informations système de base sur l'appareil piraté, de télécharger des fichiers sur les serveurs C2 ou de télécharger des fichiers choisis sur le système infecté, d'exécuter des commandes shell, etc.