Des chercheurs ont révélé les détails d’une variante macOS récemment découverte d’un implant de malware développé par un acteur de menace d’espionnage chinois connu pour frapper des organisations d’attaque à travers l’Asie.
Attribuer les attaques à un groupe suivi comme Nuage d’oragela société de cybersécurité Volexity a caractérisé le nouveau malware, surnommé Trucune « famille de logiciels malveillants multiplateforme riche en fonctionnalités qui utilise des services d’hébergement cloud public (tels que Google Drive) pour les canaux de commande et de contrôle (C2) ».
La société de cybersécurité a déclaré avoir récupéré l’échantillon grâce à l’analyse de la mémoire d’un MacBook Pro compromis exécutant macOS 11.6 (Big Sur) dans le cadre d’une campagne d’intrusion qui a eu lieu fin 2021.
« Storm Cloud est un acteur de menace avancé et polyvalent, adaptant son ensemble d’outils pour correspondre aux différents systèmes d’exploitation utilisés par ses cibles », ont déclaré Damien Cash, Steven Adair et Thomas Lancaster, chercheurs chez Volexity. mentionné dans un rapport.
« Ils utilisent des utilitaires de système d’exploitation intégrés, des outils open source et des implants de logiciels malveillants personnalisés pour atteindre leurs objectifs. L’exploitation des plates-formes cloud pour C2, comme l’utilisation de Google Drive, augmente la probabilité de fonctionner sans être détectée par les solutions de surveillance du réseau. »
Contrairement à son homologue Windows, qui est codé à la fois en .NET et en Delphi, la version macOS est écrite en Objective C. Mis à part le choix des langages de programmation, les deux versions du malware sont connues pour partager la même infrastructure C2 et les mêmes schémas comportementaux.
Une fois déployé, Gimmick est lancé soit en tant que démon, soit sous la forme d’une application personnalisée conçue pour se faire passer pour un programme fréquemment lancé par l’utilisateur ciblé. Le logiciel malveillant est configuré pour communiquer avec son serveur C2 basé sur Google Drive uniquement les jours ouvrables afin de se fondre davantage dans le trafic réseau de l’environnement cible.
De plus, la porte dérobée, en plus de récupérer des fichiers arbitraires et d’exécuter des commandes à partir du serveur C2, est livrée avec sa propre fonctionnalité de désinstallation qui lui permet de s’effacer de la machine compromise.
Pour protéger les utilisateurs contre les logiciels malveillants, Apple a publié nouvelles signatures à sa suite de protection anti-malware intégrée connue sous le nom de XProtect depuis le 17 mars 2022 pour bloquer et supprimer les infections via son Malware Removal Tool (MRT).
« Le travail impliqué dans le portage de ce malware et l’adaptation de ses systèmes à un nouveau système d’exploitation (macOS) n’est pas une mince affaire et suggère que l’acteur de la menace derrière lui est bien doté en ressources, adepte et polyvalent », ont déclaré les chercheurs.