Atribuyendo los ataques a un grupo rastreado como Storm Cloud, la firma de ciberseguridad Volexity caracterizó el nuevo malware, apodado Gimmick, como una "familia de malware multiplataforma con muchas caracterÃsticas que utiliza servicios de alojamiento en la nube pública (como Google Drive) para los canales de comando y control (C2)".
La firma de ciberseguridad dijo que recuperó la muestra a través del análisis de la memoria de un MacBook Pro comprometido que ejecutaba macOS 11.6 (Big Sur) como parte de una campaña de intrusión que tuvo lugar a finales de 2021.
"Storm Cloud es un actor de amenazas avanzado y versátil, que adapta su conjunto de herramientas para adaptarse a los diferentes sistemas operativos utilizados por sus objetivos", dijeron los investigadores de Volexity Damien Cash, Steven Adair y Thomas Lancaster en un informe.
"Hacen uso de utilidades integradas en el sistema operativo, herramientas de código abierto e implantes de malware personalizados para lograr sus objetivos. Aprovechan las plataformas en la nube para C2, como el uso de Google Drive, aumenta la probabilidad de operar sin ser detectado por las soluciones de monitoreo de la red."
A diferencia de su homólogo de Windows, que está codificado en .NET y Delphi, la versión de macOS está escrita en Objective C. Dejando de lado la elección de los lenguajes de programación, se sabe que las dos versiones del malware comparten la misma infraestructura C2 y los mismos patrones de comportamiento.
Una vez desplegado, Gimmick se lanza como un deamon o en forma de una aplicación personalizada que está diseñada para hacerse pasar por un programa que el usuario objetivo suele lanzar. El malware está configurado para comunicarse con su servidor C2 basado en Google Drive sólo en dÃas laborables, con el fin de mezclarse con el tráfico de red en el entorno objetivo.
Es más, la puerta trasera, además de recuperar archivos arbitrarios y ejecutar comandos desde el servidor C2, viene con su propia funcionalidad de desinstalación que le permite borrarse a sà misma de la máquina comprometida.
Para proteger a los usuarios contra el malware, Apple ha emitido nuevas firmas para su suite de protección antimalware integrada, conocida como XProtect, a partir del 17 de marzo de 2022, para bloquear y eliminar las infecciones a través de su herramienta de eliminación de malware (MRT).