Blog

Gimmick, el nuevo malware de origen Chino que apunta a los usuarios de macOS

Los investigadores de la empresa Volexity, han revelado detalles de una variante de malware para macOS recientemente descubierta que se encuentra en fase de desarrollo por un actor de amenaza, especializado en espionaje y de origen chino, por parte de un grupo conocido por atacar a organizaciones de toda Asia.

Atribuyendo los ataques a un grupo conocido como «Storm Cloud», la firma de ciberseguridad Volexity caracterizó el nuevo malware, apodado Gimmick como una «familia de malware multiplataforma rica en funciones que utiliza servicios de alojamiento en la nube pública (como Google Drive) para canales de comando y control (C2)«.

Diagrama de flujo del modus operandi.
Imagen: Volexity

La firma de ciberseguridad dijo que recuperó la muestra a través del análisis de memoria de un MacBook Pro comprometido que ejecuta macOS 11.6 (Big Sur) como parte de una campaña de intrusión que tuvo lugar a fines de 2021.

A diferencia de su contraparte en Windows, que está codificada tanto en .NET como en Delphi, la versión de macOS está escrita en Objective C. Dejando a un lado la elección de los lenguajes de programación, se sabe que las dos versiones del malware comparten la misma infraestructura C2 y patrones de comportamiento.

Una vez implementado en el equipo, Gimmick lanza una aplicación personalizada que está diseñada para hacerse pasar por un programa lanzado con frecuencia por el usuario final. El malware está configurado para comunicarse con su servidor C2 basado en Google Drive, y solo en días hábiles para mezclarse aún más con el tráfico de red en el entorno de destino.

Además, el backdoor, puede recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, también viene con su propia funcionalidad de desinstalación que le permite borrarse de la máquina comprometida.

Para proteger a los usuarios contra el malware, Apple ha emitido nuevas firmas a su suite de protección antimalware incorporada conocida como XProtect a partir del 17 de marzo de 2022 para bloquear y eliminar las infecciones a través de su Herramienta de eliminación de malware (MRT).

«El trabajo involucrado en la migración de este malware y la adaptación de sus sistemas a un nuevo sistema operativo (macOS) no es una tarea ligera y sugiere que el actor de amenazas detrás de él está bien dotado de recursos, es experto y versátil«, dijeron los investigadores.

Más Información

https://www.volexity.com/blog/2020/03/31/storm-cloud-unleashed-tibetan-community-focus-of-highly-targeted-fake-flash-campaign/

https://www.volexity.com/blog/2022/03/22/storm-cloud-on-the-horizon-gimmick-malware-strikes-at-macos/

https://support.apple.com/es-cl/guide/security/sec469d47bd8/web

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required