Malware macOS personalizado de los piratas informáticos chinos 'Storm Cloud'

Los investigadores han descubierto una variante de malware macOS previamente desconocida llamada GIMMICK, que se cree que es una herramienta personalizada utilizada por un actor de amenazas de espionaje chino conocido como 'Storm Cloud'.

El malware fue descubierto por investigadores de Volexity, quienes lo recuperaron de la RAM de una MacBook Pro con macOS 11.6 (Big Sur), que se vio comprometida en una campaña de ciberespionaje a fines de 2021.

La exposición de malware personalizado utilizado por actores de amenazas sofisticados no es común. Esos grupos operan con mucho cuidado, dejan un rastro mínimo y eliminan los restos del malware para mantener sus herramientas en secreto y evadir la detección basada en IoC.

Sin embargo, a veces, incluso los ciberdelincuentes más avanzados se equivocan y dejan malware que luego puede ser analizado por los investigadores de seguridad, como es el caso de GIMMICK.

Diseccionando el malware GIMMICK

GIMMICK es un malware multiplataforma escrito en Objective C (macOS) o .NET y Delphi (Windows).

Todas las variantes usan la misma arquitectura C2, rutas de archivo, patrones de comportamiento y abusan mucho de los servicios de Google Drive, por lo que se rastrea como una herramienta a pesar de las diferencias de código.

GIMMICK es lanzado directamente por el usuario o como un demonio en el sistema y se instala como un archivo binario llamado 'PLIST', que generalmente imita una aplicación muy utilizada en la máquina de destino.

A continuación, el malware se inicializa realizando varios pasos de decodificación de datos y, finalmente, establece una sesión en Google Drive, utilizando credenciales OAuth2 codificadas.


Después de la inicialización, GIMMICK carga tres componentes de malware, a saber, DriveManager, FileManager y GCDTimerManager, siendo el primero responsable de las siguientes acciones:

- Administre las sesiones de Google Drive y proxy.
- Mantenga un mapa local de la jerarquía de directorios de Google Drive en la memoria.
- Administre bloqueos para sincronizar tareas en la sesión de Google Drive.
- Manejar tareas de carga y descarga hacia y desde la sesión de Google Drive.

El UUID de hardware de cada sistema infectado se utiliza como identificador del directorio de Google Drive que le corresponde.

FileManager administra el directorio local donde se almacenan la información de C2 y las tareas de comando, y GCDTimerManager se encarga de la administración de los diversos objetos GCD.


Los comandos admitidos por GIMMICK, que llegan al sistema en formato cifrado con AES, son los siguientes:

- Transmitir información del sistema base
- Subir archivo a C2
- Descargar archivo al cliente
- Ejecute un comando de shell y escriba la salida en C2
- Establecer el intervalo del temporizador de Google Drive del cliente
- Establecer el intervalo del temporizador del cliente para el mensaje de latido de información del cliente
- Sobrescribir la información del período de trabajo del cliente

"Debido a la naturaleza asincrónica de la operación de malware, la ejecución de comandos requiere un enfoque por etapas. Aunque los pasos individuales ocurren de forma asíncrona, cada comando sigue lo mismo". explica Volexity en su informe técnico

Es este diseño asíncrono lo que hace que GIMMICK sea tan robusto y al mismo tiempo complejo, por lo que trasladarlo a una nueva plataforma, macOS en este caso, es una hazaña que destaca las habilidades y los recursos de Storm Cloud.

Volexity señala que no se debe descartar la posibilidad de que Storm Cloud compre el malware de un desarrollador externo y lo use exclusivamente.

Protégete contra el truco

Apple también implementó nuevas protecciones para todas las versiones compatibles de macOS con nuevas firmas para XProtect y MRT, que deberían poder bloquear y eliminar el malware desde el 17 de marzo de 2022. Para asegurarse de haber recibido estas firmas, siga  las instrucciones de la página de soporte de Apple .

Para evitar que GIMMICK y malware similar establezcan un punto de apoyo en su macOS, comience aplicando las actualizaciones del sistema disponibles para su dispositivo, que también obtendrán las últimas firmas de detección.

A continuación, asegúrese de que XProtect y MRT estén habilitados y ejecutándose activamente en el sistema.

Las medidas avanzadas incluyen el uso de herramientas de monitoreo de tráfico de red y soluciones EDR para detectar el lanzamiento de demonios en los puntos finales.

Volexity también ha publicado una lista de indicadores de compromiso (IoC) de  GIMMICK y reglas YARA , que pueden ayudar a los defensores a detectar y detener el malware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta