Специалисты по кибербезопасности из Volexity обнаружили ранее неизвестное специальное вредоносное ПО, разработанное для macOS, которое, по их утверждениям, способно получить контроль над учетной записью Google Диска цели.

Вредоносная программа, скорее всего, была разработана Storm Cloud, китайской организацией, занимающейся кибершпионажем, которая, судя по ее сложности, обладает отличными навыками и ресурсами.

После восстановления со взломанного MacBook Pro под управлением macOS XNUMX (Big Sur) ученые назвали вредоносное ПО GIMMICK. Он описывается как кроссплатформенное вредоносное ПО, написанное на языке Objective C или .NET и Delphi, в зависимости от целевой операционной системы.

решение от Apple

Как только GIMMICK заражает точку, он устанавливает сеанс в облачном хранилище Google Диска, используя зашифрованные учетные данные OAuth2. Теперь он загружает 3 отдельных вредоносных элемента: DriveManager, FileManager и GCDTimerManager.

Это дает злоумышленникам возможность управлять сеансами Google Диска и прокси-сервера, хранить в памяти локальную карту иерархии каталогов Google Диска, направлять блокировки для синхронизации заданий в сеансе Диска, а также напрямую загружать и загружать задания.

Поддерживаемые GIMMICK команды, опубликованные более подробно, включают передачу базовой системной информации, загрузку файлов на сервер управления и контроля (C2), загрузку файлов в конечную точку пользователя, выполнение команды оболочки, запись вывода в C2 и перезапись периода работы пользователя. Информация.

«Из-за асинхронного характера работы вредоносных программ выполнение команд требует поэтапного подхода. Хотя отдельные шаги выполняются асинхронно, каждая команда следует за одним и тем же», — пояснила Volexity.

Для борьбы с вредоносными программами Apple добавила новые средства защиты во все поддерживаемые версии macOS в виде новых сигнатур для антивирусных решений XProtect и MRT. Каждому пользователю рекомендуется посетить страницу поддержки Apple и следовать приведенным там инструкциям.

Вредоносное ПО — это открытие, утверждает издание. Как правило, в таких кампаниях кибершпионажа, как эта, злоумышленники стараются не оставлять следов своего присутствия и обычно удаляют любой используемый код.

Через: BleepingComputer

Поделиться