Cybersäkerhetsforskare på Volexity har upptäckt tidigare okänd anpassad skadlig programvara utvecklad för macOS som de hävdar kan ta kontroll över målets Google Drive-konto.
Skadlig programvara har troligen utvecklats av Storm Cloud, en kinesisk aktör som hotar cyberspionage som, att döma av svårigheten, har utmärkta kunskaper och resurser.
Efter att ha återställt den från en komprometterad MacBook Pro som kör macOS XNUMX (Big Sur), döpte forskarna skadlig programvara GIMMICK. Det beskrivs som plattformsoberoende skadlig kod, skriven i Objective C eller .NET och Delphi, beroende på vilket operativsystem den riktar sig till.
Apples lösning
När GIMMICK infekterar en punkt, etablerar den en session i Google Drives molnlagring, med hjälp av krypterade OAuth2-uppgifter. Nu laddar den 3 separata skadliga element: DriveManager, FileManager och GCDTimerManager.
Dessa ger angripare möjligheten att dirigera Google Drive- och proxysessioner, upprätthålla en lokal karta över Google Drive-kataloghierarkin i minnet, direktlås för att synkronisera uppgifter i Drive-sessionen och direktuppladdnings- och nedladdningsuppgifter.
Kommandon som stöds av GIMMICK, publicerade mer i detalj, inkluderar att överföra bassysteminformation, ladda upp filer till kommando- och kontrollservern (C2), ladda upp filer till användarens slutpunkt, utföra ett skalkommando, skriva utdata till C2 och skriva över användarens arbetsperiod . information.
"På grund av den asynkrona karaktären hos skadlig programvara kräver utförande av kommandon en steg-för-steg-strategi. Medan individuella steg sker asynkront, följer varje kommando samma väg," förklarade Volexity.
För att bekämpa skadlig programvara har Apple lagt till nya skydd till varje version av macOS som stöds, i form av nya signaturer för XProtect- och MRT-antiviruslösningarna. Alla användare uppmanas att besöka Apples supportsida och följa instruktionerna där.
Skadlig programvara är en upptäckt, står det i publikationen. I allmänhet, i cyberspionagekampanjer som denna, ser hotaktörer till att inte lämna några spår av sin närvaro och tar vanligtvis bort all kod som används.
Via: BleepingComputer