Les chercheurs en cybersécurité de Volexity ont découvert un malware personnalisé jusqu’alors inconnu conçu pour macOS qui, selon eux, est capable de prendre le contrôle du compte Google Drive de la cible. par sa complexité, dispose de compétences et de ressources redoutables. Après l’avoir récupéré d’un MacBook Pro compromis sous macOS 11.6 (Big Sur), les chercheurs ont nommé le malware GIMMICK. Il est décrit comme un malware multiplateforme, écrit en Objective C, ou.NET et Delphi, selon le système d’exploitation qu’il cible.
La solution d’Apple
Une fois que GIMMICK infecte un point de terminaison, il établit une session sur le stockage en nuage Google Drive, à l’aide d’informations d’identification OAuth2 codées en dur. Ensuite, il charge trois éléments malveillants distincts – DriveManager, FileManager et GCDTimerManager. Ceux-ci donnent aux attaquants la possibilité de gérer Google Drive et les sessions proxy, de maintenir une carte locale de la hiérarchie des répertoires Google Drive en mémoire, de gérer les verrous pour la synchronisation des tâches sur le Conduisez la session et gérez les tâches de téléchargement et de téléchargement. écrire la sortie sur C2 et écraser les informations sur la période de travail du client. « En raison de la nature asynchrone de l’opération du logiciel malveillant, l’exécution de la commande nécessite une approche par étapes. Bien que les étapes individuelles se produisent de manière asynchrone, chaque commande suit la même chose. » Volexity expliqué. Pour lutter contre le malware, Apple a déployé de nouvelles protections sur toutes les versions de macOS prises en charge, sous la forme de nouvelles signatures pour les solutions antivirus XProtect et MRT. Tous les utilisateurs sont invités à se rendre sur la page d’assistance d’Apple et à suivre les instructions qui s’y trouvent. Habituellement, dans les campagnes de cyberespionnage telles que celle-ci, les acteurs de la menace s’assurent de ne laisser aucune trace de leur présence et suppriment généralement tout code utilisé. Via : BleepingComputer