Un grupo de investigadores han revelado detalles de una nueva variante del malware Gimmick de macOS que fue descubierta recientemente, creada por un actor de amenazas chino conocido por atacar organizaciones en toda Asia.
Luego de atribuir todos estos ataques a un grupo que fue rastreado cómo Storm Cloud, la empresa de seguridad cibernética Volexity nombró a este cómo malware Gimmick.
Este se trata de una familia de malwares multiplataformas rico en muchas funciones, el cuál hace uso de servicios de alojamiento en la nube, cómo lo sería Google Drive, para comandos y operaciones canales de control (C2).
Volexity afirmó que había recuperado una muestra a través del análisis de la memoria de una MacBook Pro, misma que se encontraba comprometida con macOS 11.6 (Big Sur).
Se dió lugar cómo parte de una campaña de intrusión que tuvo lugar a fines de 2021, convirtiendo al malware Gimmick en un virus altamente peligroso para la seguridad de los usuarios de macOS.
Storm Cloud: la organización que dirigió al malware Gimmick a usuarios macOS
Storm Cloud es un conocido actor de amenazas sumamente avanzado y versátil, mismo que adapta un conjunto de múltiples herramientas, con el objetivo de que coincida con los diferentes sistemas operativos utilizados por los usuarios.
Toda esta información fue muy bien aclarada por los investigadores de Volexity, mismos que fueron:
- Damien Cash
- Steven Adair y Thomas Lancaster
Además, también hacen uso de funciones integradas en el mismo sistema operativo, herramientas de código abierto e implactes de software para lograr así conseguir su objetivo.
Cabe destacar, que al aprovecharse de plataformas en la nube para lograr su cometido, cómo lo sería Google Drive, aumenta su posibilidad de operar sin ser detectado, por las soluciones de monitoreo de red algo muy bien planeado.
¿Cómo funciona el malware Gimmick cuando infecta a un ordenador macOS?
A diferencia de su competidor más cercano Windows, se que encuentra codificado tanto en .NET cómo en Delphi, la versión de macOS se encuentra escrito en Objective C.
Dejando a un lado lo que sería los lenguajes de programación, muy bien se sabe que ambas versiones del malware Gimmick comparten la misma infraestructura C2 y todos sus patrones de comportamiento.
Luego de que ya se encuentra implementa, el malware Gimmick comienza como una clase de aplicación diseñada para hacerse pasar por un programa, mismo que el usuario ejecuta con mucha frecuencia.
Por otro lado, dicho malware se encuentra configurado para comunicarse con su servidor C2, mismo que se encuentra basado en Google Drive sólo en días laborables.
Es así cómo logra mezclarse en días laborables, es así cómo logra mezclarse mucho más con lo que respecta al tráfico de red en el entorno de destino.
Apple ha respondido para proteger a sus usuarios del malware Gimmick
Además de su puerta trasera, y la forma en la cual puede recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, el malware Gimmick posee una función para poder auto eliminarse del ordenador comprometido.
Para proteger a sus usuarios del malware Gimmick, Apple ha emitido nuevas firmas para lo que sería su paquete de protección antimalware.
Este será integrado con el nombre de Xprotect, y se comenzará a implementar a partir del 17 de marzo de 2022 para bloquear y luego eliminar las infecciones a través de su herramienta de eliminación de malware (MRT).
Todo el trabajo involucrado es portar al malware Gimmick y adaptar sus sistemas a un nuevo sistema operativo (macOS), aunque no es una tarea fácil y sugiere que el actor de amenazas detrás de él, posee muy buenos recursos, es experto y altamente versátil», fuertes palabras de los investigadores.
