Los investigadores han revelado detalles de una variante macOS recientemente descubierta de un implante de malware desarrollado por un actor de amenazas de espionaje chino conocido por atacar organizaciones de ataque en toda Asia.
Atribuir los ataques a un grupo rastreado como Nube de tormentala firma de ciberseguridad Volexity caracterizó el nuevo malware, denominado Trucouna «familia de malware multiplataforma rica en funciones que utiliza servicios de alojamiento en la nube pública (como Google Drive) para canales de comando y control (C2)».
La firma de ciberseguridad dijo que recuperó la muestra a través del análisis de memoria de una MacBook Pro comprometida con macOS 11.6 (Big Sur) como parte de una campaña de intrusión que tuvo lugar a fines de 2021.
«Storm Cloud es un actor de amenazas avanzado y versátil, que adapta su conjunto de herramientas para que coincida con los diferentes sistemas operativos utilizados por sus objetivos», los investigadores de Volexity Damien Cash, Steven Adair y Thomas Lancaster. dijo en un informe
«Hacen uso de las utilidades integradas del sistema operativo, herramientas de código abierto e implantes de malware personalizados para lograr sus objetivos. Aprovechar las plataformas en la nube para C2, como el uso de Google Drive, aumenta la probabilidad de operar sin ser detectado por las soluciones de monitoreo de red».
A diferencia de su contraparte de Windows, que está codificado tanto en .NET como en Delphi, la versión de macOS está escrita en Objective C. Dejando de lado la elección de los lenguajes de programación, se sabe que las dos versiones del malware comparten la misma infraestructura C2 y patrones de comportamiento.
Una vez implementado, Gimmick se inicia como un demonio o en forma de una aplicación personalizada que está diseñada para hacerse pasar por un programa que el usuario objetivo ejecuta con frecuencia. El malware está configurado para comunicarse con su servidor C2 basado en Google Drive solo en días laborables para mezclarse aún más con el tráfico de red en el entorno de destino.
Además, la puerta trasera, además de recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, viene con su propia funcionalidad de desinstalación que le permite borrarse a sí misma de la máquina comprometida.
Para proteger a los usuarios contra el malware, Apple ha emitido nuevas firmas a su paquete de protección antimalware integrado conocido como XProtect a partir del 17 de marzo de 2022 para bloquear y eliminar las infecciones a través de su Herramienta de eliminación de malware (MRT).
«El trabajo involucrado en la migración de este malware y la adaptación de sus sistemas a un nuevo sistema operativo (macOS) no es tarea fácil y sugiere que el actor de amenazas detrás de él tiene buenos recursos, es experto y es versátil», dijeron los investigadores.