Китайский бэкдор Gimmick портирован на macOS

Татьяна Никитина 23 Марта 2022 - 19:17

Таргетированные атаки

...

Китайский бэкдор Gimmick портирован на macOS

При разборе недавней атаки на сеть клиента эксперты Volexity обнаружили на взломанном MacBook Pro вредоносный имплант. Анализ показал, что это macOS-версия бэкдора Gimmick, используемого китайской APT-группой Storm Cloud.

Интересы группировки, деятельность которой в ИБ-компании отслеживают под условным названием Storm Cloud, ограничены территорией Азии. Проводя шпионские атаки, хакеры обычно используют штатные средства ОС, инструменты с открытым исходным кодом и кастомные импланты, а для нужд C2 — публичные веб-сервисы вроде Google Диска.

Как оказалось, новоявленный зловред по поведению мало чем отличается от уже известного Windows-собрата, к тому же делит с ним C2-инфраструктуру. Только написан он не на .NET и Delphi, а на Objective-C.

В системе новый Gimmick работает как демон или кастомное приложение, выдающее себя за программу, которую жертва регулярно использует. Чтобы надежнее скрыть C2-коммуникации в легитимном трафике, вредонос подключается к Google Диску только в рабочие дни недели.

Набор функций, которые выполняет macOS-бэкдор, вполне стандартен: он умеет сливать на сторону информацию о зараженной машине, загружать произвольные файлы, выполнять шелл-команды. Найденный образец обладал также механизмом деинсталляции, позволявшим зловреду стирать все следы своего присутствия в системе.

Новобранец, как и Windows-предшественник, выполняется асинхронно, то есть не ждет завершения некоего процесса, а продолжает работу независимо от него. Для авторизации в облаке Google он использует вшитый идентификатор OAuth2, а для шифрования внешних файлов создает ключ AES.

Для каждого случая заражения Gimmick на Google Диске создается отдельная папка. Управлять ключевыми аспектами C2-протокола вредоносу помогают три кастомных класса ObjectiveC — DriveManager, FileManager и GCDTimerManager.

Первый отвечает за сессии Google Диска и прокси, правильность отображения иерархии папок Google Диска в локальной памяти, синхронизацию с веб-сервисом, загрузку и отправку данных. В зону ответственности FileManager входит локальная иерархия папок с информацией о принятых командах и ходе их выполнения. GCDTimerManager управляет различными объектами GCD, которые обеспечивают стабильность работы импланта, и следит за тем, чтобы время его активности не превышало заданные пределы.

О своей находке эксперты сообщили в Apple, а затем помогли вендору создать новые сигнатуры для его защитных решений. Неделю назад результат был добавлен в базы XProtect и MRT (Malware Removal Tool).

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 11:20

Трояны Мошенничество Онлайн-мошенничество Домашние пользователи F6

Фальшивые моды для Minecraft заражают Windows и крадут данные геймеров

Поклонникам Minecraft стоит насторожиться: под видом безобидных модов для игры злоумышленники начали распространять вредоносные программы для Windows. Об угрозе предупредили специалисты компании F6, которая занимается технологиями для борьбы с киберугрозами.

Речь идёт о зловреде WeedHack. Его маскируют под «полезные» моды, читы и инструменты для дюпа (для быстрого получения игровых ресурсов нечестным способом).

Распространяют такие файлы через короткие ролики в TikTok: пользователю показывают заманчивое видео, а ссылку на скачивание оставляют в описании.

На первый взгляд всё выглядит вполне привычно для игровой среды. Но вместо полезного дополнения человек получает инфостилер — вредоносное приложение, которое незаметно собирает данные с компьютера и отправляет их злоумышленникам.

Самое неприятное в этой схеме то, что вредоносный файл действительно может работать как мод для Minecraft, не вызывая сразу подозрений. Пока пользователь думает, что просто установил очередное дополнение к игре, зловред параллельно загружает дополнительные модули с управляющих серверов и запускает скрытые механизмы автозапуска.

По данным F6, возможности у WeedHack довольно широкие. Он может красть учётные данные более чем из 40 браузеров, токены сессий Minecraft и Discord, а также данные криптокошельков — как из браузерных расширений, так и из некоторых десктопных приложений.

Кроме того, вредонос способен добраться до папки tdata Telegram. С такими данными злоумышленники могут попытаться войти в аккаунт пользователя без ввода кода аутентификации.

В F6 также отмечают, что в продвинутой версии WeedHack умеет больше, чем обычный стилер. По сути, он может превращаться в полноценный троян, открывающий удалённый доступ к устройству жертвы.

Отдельно интересно, как устроена сама схема распространения. По данным аналитиков, WeedHack распространяется по модели «вредонос как услуга» (Malware-as-a-Service).

Специалисты выяснили, что значительная часть связанных с ней доменов была зарегистрирована в зоне .RU. Всего удалось выявить 20 доменов, из которых 14 использовались как управляющие серверы, веб-панели или резервные площадки. После обращения CERT F6 все 14 доменов в зоне .RU были заблокированы. Также компания направила обращения для блокировки доменов в зоне .CY, жалобы на файлообменники, через которые распространялись вредоносные JAR-файлы, и запросы в TikTok на удаление роликов с опасными ссылками.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!