I ricercatori di sicurezza hanno scoperto un nuovo malware macOS personalizzato soprannominato Gimmick, che credono sia stato creato da un gruppo di spionaggio cinese per effettuare attacchi in Asia.
La variante del malware per macOS è stata scoperta dai soccorritori della società di sicurezza Volexity nella memoria di un MacBook Pro che esegue una versione di macOS Big Sur 11.6. Secondo il team, la macchina è stata compromessa in un attacco di spionaggio informatico del 2021.
Gimmick stesso è detto essere un malware multipiattaforma che è scritto in Objective C su macOS e abusa pesantemente dei servizi di Google Drive. Quando viene installato su una macchina compromessa, si incorpora come un file binario che imita un’app molto utilizzata su un Mac.
Dopo l’inizializzazione, il team ha scoperto che il malware carica componenti aggiuntivi che possono gestire in remoto una sessione di Google Drive. Utilizzando Google Drive come piattaforma di comando e controllo, il malware può passare inosservato dalle soluzioni di monitoraggio della rete.
Una volta su una macchina, gli aggressori possono svolgere una serie di altre attività utilizzando il malware, tra cui il caricamento di file dalla macchina all’infrastruttura di command-and-control, il download di ulteriori file dannosi sulla macchina e l’acquisizione di una shell che consente di eseguire i comandi.
Secondo Volexity, la sofisticazione di Gimmick sottolinea quanto sia avanzato e versatile l’attore della minaccia Storm Cloud. Tuttavia, è possibile che l’attore di minacce abbia acquistato il malware da uno sviluppatore di terze parti.
Come proteggersi
Volexity nota che Storm Cloud è noto soprattutto per prendere di mira gli utenti in Asia come parte della sua campagna di spionaggio informatico.
Inoltre, Apple ha rilasciato patch di sicurezza che sono in grado di bloccare e rimuovere il malware.
Per questo motivo, si raccomanda agli utenti di scaricare e installare l’ultimo aggiornamento di macOS Monterey il più presto possibile.
