这种新的自定义macOS恶意软件控制了您的谷歌Drive帐户

Volexity的网络安全研究人员发现了一种以前未知的为macOS设计的自定义恶意软件，他们称该恶意软件能够控制目标的GoogleDrive帐户。该恶意软件很可能是由网络威胁组织StormCloud开发的，从其复杂性来看，它拥有强大的技能和资源。

在从运行macOS11.6(BigSur)的受感染MacBookPro中检索到它后，研究人员将恶意软件命名为GIMMICK。它被描述为一种多平台恶意软件，使用ObjectiveC或.NET和Delphi编写，具体取决于它所针对的操作系统。

我们正在研究我们的读者如何在不同的设备上使用VPN，以便我们可以改进我们的内容并提供更好的建议。这项调查花费的时间不应超过60秒，来自英国和的参赛者将有机会参与抽奖，获得100英镑的亚马逊礼品卡(或等值美元)。感谢您的参与。

一旦GIMMICK感染端点，它就会使用硬编码的OAuth2凭据建立与GoogleDrive云存储的会话。然后，它会加载三个独立的恶意软件元素——DriveManager、FileManager和GCDTimerManager。

这些使攻击者能够管理GoogleDrive和代理会话，在内存中维护GoogleDrive目录层次结构的本地映射，管理Drive会话上同步任务的锁，以及管理上传和下载任务。

GIMMICK支持的命令，该出版物进一步详细说明，包括传输基本系统信息、将文件上传到命令和控制服务器(C2)、将文件下载到客户端端点、执行shell命令、将输出写入C2以及覆盖客户端工作周期信息。

>这个令人毛骨悚然的macOS恶意软件会偷偷截取你设备的屏幕截图>如何使用反恶意软件工具清理MacBook和iMac>去年检测到的Mac恶意软件比以往任何时候都多

“由于恶意软件操作的异步性质，命令执行需要分阶段的方法。尽管各个步骤是异步发生的，但每个命令都遵循相同的。”Volexity解释道。

为了应对恶意软件，Apple以XProtect和MRT防病毒解决方案的新签名形式向所有受支持的macOS版本推出了新的保护措施。建议所有用户前往Apple的支持页面，并按照那里的说明进行操作。

该出版物声称，该恶意软件非常受欢迎。通常，在诸如此类的网络活动中，威胁参与者会确保他们不留下任何存在的痕迹，并且通常会删除任何使用的代码。

标签：