针对macOS用户的中国噱头恶意软件的新变种

研究人员披露了一种新发现的macOS变种恶意软件植入物的细节，这种植入物是由一名中国间谍威胁行为人开发的，该行为人已知攻击亚洲各地的攻击组织。

网络安全公司Volexity将这些攻击归因于一个被追踪为风暴云的组织，并将这种被称为Gimmick的新恶意软件描述为“功能丰富的多平台恶意软件家族，使用公共云托管服务（如Google Drive）进行指挥和控制（C2）通道。”

网络安全公司说，它通过记忆分析MacBook Pro运行MacOS 11.6（大瑟尔）的样本，作为2021年底发生的入侵活动的一部分。

Volexity研究人员达米恩·卡什（Damien Cash）、史蒂文·阿代尔（Steven Adair）和托马斯·兰卡斯特（Thomas Lancaster）在一份报告中说：“风暴云是一种先进且多功能的威胁行为体，它调整了工具集，以匹配目标使用的不同操作系统。”。

“他们利用内置的操作系统实用程序、开源工具和自定义恶意软件植入来实现他们的目标。利用云平台进行C2，例如使用Google Drive，增加了网络监控解决方案无法检测到的操作的可能性。”

与Windows版本不同的是，Windows版本是用这两种语言编写的。NET和Delphi，macOS版本是用Objective C编写的。撇开编程语言的选择不谈，已知这两个版本的恶意软件共享相同的C2基础设施和行为模式。

一旦部署，Gimmick将作为守护程序或定制应用程序的形式启动，该应用程序经过设计，以模拟目标用户经常启动的程序。恶意软件被配置为仅在工作日与基于Google Drive的C2服务器通信，以便进一步融入目标环境中的网络流量。

更重要的是，后门除了从C2服务器检索任意文件和执行命令外，还带有自己的卸载功能，允许它从受损的机器上删除自己。

为了保护用户免受恶意软件的侵害，苹果自2022年3月17日起向其内置的反恶意软件保护套件XProtect发布了新的签名，以通过其恶意软件删除工具（MRT）阻止和删除感染。

研究人员说：“移植这种恶意软件并使其系统适应新的操作系统（macOS）所涉及的工作并不轻松，这表明它背后的威胁参与者资源丰富、技术娴熟且多才多艺。”。