Les chercheurs en cybersécurité de Volexity ont découvert un logiciel malveillant personnalisé jusqu’alors inconnu conçu pour macOS qui, selon eux, est capable de prendre le contrôle du compte Google Drive de la cible.
Le malware est très probablement développé par Storm Cloud, un acteur chinois de la menace de cyber-espionnage qui, à en juger par sa complexité, dispose de compétences et de ressources formidables.
Après l’avoir récupéré sur un MacBook Pro compromis exécutant macOS 11.6 (Big Sur), les chercheurs ont nommé le malware GIMMICK. Il est décrit comme un malware multiplateforme, écrit en Objective C, ou .NET et Delphi, selon le système d’exploitation qu’il cible.
La solution d’Apple
Une fois que GIMMICK infecte un point de terminaison, il établit une session sur le stockage en nuage Google Drive, à l’aide d’informations d’identification OAuth2 codées en dur. Ensuite, il charge trois éléments malveillants distincts : DriveManager, FileManager et GCDTimerManager.
Ceux-ci donnent aux attaquants la possibilité de gérer Google Drive et les sessions proxy, de conserver une carte locale de la hiérarchie des répertoires Google Drive en mémoire, de gérer les verrous pour la synchronisation des tâches sur la session Drive et de gérer les tâches de chargement et de téléchargement.
Les commandes prises en charge par GIMMICK, la publication plus en détail, incluent la transmission des informations du système de base, le téléchargement de fichiers sur le serveur de commande et de contrôle (C2), le téléchargement de fichiers sur le point de terminaison client, l’exécution d’une commande shell, l’écriture de la sortie sur C2 et l’écrasement de la période de travail du client. information.
« En raison de la nature asynchrone de l’opération du logiciel malveillant, l’exécution des commandes nécessite une approche par étapes. Bien que les étapes individuelles se produisent de manière asynchrone, chaque commande suit la même chose. » Volexity expliqué.
Pour lutter contre le malware, Apple a déployé de nouvelles protections sur toutes les versions de macOS prises en charge, sous la forme de nouvelles signatures pour les solutions antivirus XProtect et MRT. Tous les utilisateurs sont invités à se diriger vers La page d’assistance d’Appleet suivez les instructions qui s’y trouvent.
Le malware est tout à fait la trouvaille, affirme la publication. Habituellement, dans les campagnes de cyberespionnage telles que celle-ci, les acteurs de la menace s’assurent de ne laisser aucune trace de leur présence et suppriment généralement tout code utilisé.
Via : BleepingComputer