Los investigadores de la empresa Volexity, han revelado detalles de una variante de malware para macOS recientemente descubierta que se encuentra en fase de desarrollo por un actor de amenaza, especializado en espionaje y de origen chino, por parte de un grupo conocido por atacar a organizaciones de toda Asia.
Atribuyendo los ataques a un grupo conocido como «Storm Cloud», la firma de ciberseguridad Volexity caracterizó el nuevo malware, apodado Gimmick como una «familia de malware multiplataforma rica en funciones que utiliza servicios de alojamiento en la nube pública (como Google Drive) para canales de comando y control (C2)«.
Imagen: Volexity
La firma de ciberseguridad dijo que recuperó la muestra a través del análisis de memoria de un MacBook Pro comprometido que ejecuta macOS 11.6 (Big Sur) como parte de una campaña de intrusión que tuvo lugar a fines de 2021.
A diferencia de su contraparte en Windows, que está codificada tanto en .NET como en Delphi, la versión de macOS está escrita en Objective C. Dejando a un lado la elección de los lenguajes de programación, se sabe que las dos versiones del malware comparten la misma infraestructura C2 y patrones de comportamiento.
Una vez implementado en el equipo, Gimmick lanza una aplicación personalizada que está diseñada para hacerse pasar por un programa lanzado con frecuencia por el usuario final. El malware está configurado para comunicarse con su servidor C2 basado en Google Drive, y solo en días hábiles para mezclarse aún más con el tráfico de red en el entorno de destino.
Además, el backdoor, puede recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, también viene con su propia funcionalidad de desinstalación que le permite borrarse de la máquina comprometida.
Para proteger a los usuarios contra el malware, Apple ha emitido nuevas firmas a su suite de protección antimalware incorporada conocida como XProtect a partir del 17 de marzo de 2022 para bloquear y eliminar las infecciones a través de su Herramienta de eliminación de malware (MRT).
«El trabajo involucrado en la migración de este malware y la adaptación de sus sistemas a un nuevo sistema operativo (macOS) no es una tarea ligera y sugiere que el actor de amenazas detrás de él está bien dotado de recursos, es experto y versátil«, dijeron los investigadores.
Más Información
https://support.apple.com/es-cl/guide/security/sec469d47bd8/web
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
