Китайский бэкдор Gimmick портирован на macOS

Татьяна Никитина 23 Марта 2022 - 19:17

Таргетированные атаки

...

Китайский бэкдор Gimmick портирован на macOS

При разборе недавней атаки на сеть клиента эксперты Volexity обнаружили на взломанном MacBook Pro вредоносный имплант. Анализ показал, что это macOS-версия бэкдора Gimmick, используемого китайской APT-группой Storm Cloud.

Интересы группировки, деятельность которой в ИБ-компании отслеживают под условным названием Storm Cloud, ограничены территорией Азии. Проводя шпионские атаки, хакеры обычно используют штатные средства ОС, инструменты с открытым исходным кодом и кастомные импланты, а для нужд C2 — публичные веб-сервисы вроде Google Диска.

Как оказалось, новоявленный зловред по поведению мало чем отличается от уже известного Windows-собрата, к тому же делит с ним C2-инфраструктуру. Только написан он не на .NET и Delphi, а на Objective-C.

В системе новый Gimmick работает как демон или кастомное приложение, выдающее себя за программу, которую жертва регулярно использует. Чтобы надежнее скрыть C2-коммуникации в легитимном трафике, вредонос подключается к Google Диску только в рабочие дни недели.

Набор функций, которые выполняет macOS-бэкдор, вполне стандартен: он умеет сливать на сторону информацию о зараженной машине, загружать произвольные файлы, выполнять шелл-команды. Найденный образец обладал также механизмом деинсталляции, позволявшим зловреду стирать все следы своего присутствия в системе.

Новобранец, как и Windows-предшественник, выполняется асинхронно, то есть не ждет завершения некоего процесса, а продолжает работу независимо от него. Для авторизации в облаке Google он использует вшитый идентификатор OAuth2, а для шифрования внешних файлов создает ключ AES.

Для каждого случая заражения Gimmick на Google Диске создается отдельная папка. Управлять ключевыми аспектами C2-протокола вредоносу помогают три кастомных класса ObjectiveC — DriveManager, FileManager и GCDTimerManager.

Первый отвечает за сессии Google Диска и прокси, правильность отображения иерархии папок Google Диска в локальной памяти, синхронизацию с веб-сервисом, загрузку и отправку данных. В зону ответственности FileManager входит локальная иерархия папок с информацией о принятых командах и ходе их выполнения. GCDTimerManager управляет различными объектами GCD, которые обеспечивают стабильность работы импланта, и следит за тем, чтобы время его активности не превышало заданные пределы.

О своей находке эксперты сообщили в Apple, а затем помогли вендору создать новые сигнатуры для его защитных решений. Неделю назад результат был добавлен в базы XProtect и MRT (Malware Removal Tool).

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Июня 2026 - 09:07

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники пугают россиян фейками о новых условиях семейной ипотеки

Пока власти ещё только обсуждают новые параметры семейной ипотеки, мошенники уже вовсю продают инсайды и пугают россиян грядущим ужесточением условий. Авторы таких постов представляются риелторами, ипотечными консультантами и экспертами рынка недвижимости, а затем предлагают срочно оформить ипотеку по старым правилам, пока не стало поздно.

Как сообщают «Известия», в соцсетях резко выросло количество публикаций о якобы уже утверждённых изменениях программы.

Фантазия у авторов работает на полную мощность. В одних сообщениях утверждается, что ставки будут зависеть от количества детей: якобы семьям с одним ребёнком придётся платить 10-12%, с двумя — 6%, а многодетным вообще обещают нулевую ставку. В других публикациях рассказывают о каких-то секретных механизмах получения новой льготной ипотеки после рождения ребёнка.

Общий посыл везде одинаковый: срочно пишите в личку, успейте запрыгнуть в последний вагон и ловите момент, пока правила не переписали.

Параллельно пользователей активно запугивают прогнозами о росте цен на жильё на 15-20% уже к осени и предлагают помощь в покупке квартиры без первоначального взноса.

Проблема в том, что никаких официально утверждённых изменений пока нет. Замминистра финансов Иван Чебесков заявил, что окончательное решение по семейной ипотеке планируется принять до 1 июля. Какие именно параметры будут утверждены, пока неизвестно.

По словам экспертов по кибербезопасности, период неопределённости традиционно становится золотым временем для аферистов. Одни создают фейковые сайты агентств недвижимости с несуществующими квартирами по привлекательным ценам. Другие предлагают внести бронь или задаток на карту. Третьи отправляют ссылки на якобы онлайн-показы жилья, которые на деле ведут на фишинговые страницы или помогают установить вредоносные приложения.

Специалисты напоминают простое правило: если кто-то обещает эксклюзивную информацию о новых правилах семейной ипотеки раньше Минфина и правительства, скорее всего, перед вами не инсайдер, а человек, который хочет заработать на чужой спешке.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!