Forscher haben Details zu einer neu entdeckten macOS-Variante eines Malware-Implantats veröffentlicht, das von einem chinesischen Spionage-Akteur entwickelt wurde, der dafür bekannt ist, Organisationen in ganz Asien anzugreifen.
Das Cybersecurity-Unternehmen Volexity schreibt die Angriffe einer Gruppe namens Storm Cloud zu und bezeichnet die neue Malware mit dem Namen Gimmick als „funktionsreiche, plattformübergreifende Malware-Familie, die öffentliche Cloud-Hosting-Dienste (wie Google Drive) für Command-and-Control-Kanäle (C2) nutzt“.
Die Cybersecurity-Firma gab an, dass sie die Probe durch eine Speicheranalyse eines kompromittierten MacBook Pro mit macOS 11.6 (Big Sur) als Teil einer Einbruchskampagne Ende 2021 gefunden hat.
„Storm Cloud ist ein fortschrittlicher und vielseitiger Bedrohungsakteur, der seine Werkzeuge an die verschiedenen Betriebssysteme seiner Ziele anpasst“, so die Volexity-Forscher Damien Cash, Steven Adair und Thomas Lancaster in einem Bericht.
„Sie nutzen integrierte Betriebssystem-Dienstprogramme, Open-Source-Tools und eigene Malware-Implantate, um ihre Ziele zu erreichen. Die Nutzung von Cloud-Plattformen für C2, wie z. B. Google Drive, erhöht die Wahrscheinlichkeit, dass sie von Netzwerküberwachungslösungen unentdeckt bleiben.“
Im Gegensatz zu seinem Windows-Pendant, das sowohl in .NET als auch in Delphi programmiert ist, ist die macOS-Version in Objective C geschrieben. Abgesehen von der Wahl der Programmiersprachen ist bekannt, dass die beiden Versionen der Malware die gleiche C2-Infrastruktur und die gleichen Verhaltensmuster aufweisen.
Nach dem Einsatz wird Gimmick entweder als Daemon oder in Form einer angepassten Anwendung gestartet, die sich als ein Programm ausgibt, das vom Zielbenutzer häufig gestartet wird. Die Malware ist so konfiguriert, dass sie nur an Werktagen mit ihrem Google Drive-basierten C2-Server kommuniziert, um sich noch besser in den Netzwerkverkehr der Zielumgebung einzufügen.
Außerdem kann die Hintertür nicht nur beliebige Dateien abrufen und Befehle vom C2-Server ausführen, sondern verfügt auch über eine eigene Deinstallationsfunktion, mit der sie sich selbst von dem befallenen Rechner löschen kann.
Um die Nutzer/innen vor der Malware zu schützen, hat Apple ab dem 17. März 2022 neue Signaturen für seine integrierte Anti-Malware-Schutzsuite XProtect herausgegeben, die die Infektionen mit dem Malware Removal Tool (MRT) blockieren und entfernen.
„Die Arbeit, die mit der Portierung dieser Malware und der Anpassung ihrer Systeme an ein neues Betriebssystem (macOS) verbunden ist, ist kein leichtes Unterfangen und deutet darauf hin, dass der Bedrohungsakteur, der dahinter steckt, gut ausgestattet, geschickt und vielseitig ist“, so die Forscher.