🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Malware Intelligence

O malware Gimmick para macOS se espalha por meio de arquivos personalizados e permite o macOS CoDesign Bypass

Descobrimos que o malware Gimmick macOS se comunica somente por meio do servidor C2 hospedado no Google Drive. O malware foi descoberto na primeira semana de maio e tem como alvo ativamente dispositivos macOS.
Updated on
April 17, 2026
Published on
May 26, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Categoria: Inteligência de malwareTipo de ameaça: MalwareMotivação: FinanceiroRegião: GlobalFonte*: F6

Resumo - Gimmick macOS Malware

AMEAÇAIMPACTOMITIGAÇÃO
  • Um novo malware chamado Gimmick, descoberto em maio de 2022, está atacando ativamente dispositivos macOS.
  • O malware tem como objetivo se espalhar incessantemente usando nomes de arquivo exclusivos do dispositivo de destino.
  • O Gimmick ganha persistência e se comunica por meio do servidor Google Drive C2 do sistema de destino.
  • A amostra de arquivo usada pelo malware também é capaz de ignorar o macOS CoDesign.
  • Use o recurso de segurança de proteção antimalware integrado XProtect da Apple para detecção de malware baseada em assinatura.
  • Audite e monitore os locais de persistência do malware, bem como o tráfego de rede, para detectar atividades anômalas.
Este relatório analisa o malware chamado Gimmick e suas chances de maior exploração cibernética criminosos.O malware foi descoberto pela empresa de segurança Volexity, na primeira semana de maio e tem como alvo ativo dispositivos macOS. Com base em discussões clandestinas, os pesquisadores do CloudSEK esperam que esse software malicioso aumente as tentativas de infecção.

Análise e atribuição

Informações da OSINT

  • O malware Gimmick está sendo fortemente atribuído a um grupo chinês de espionagem cibernética chamado Storm Cloud, que tem um histórico de ataques a regiões asiáticas.
  • Com base em vários recursos, os pesquisadores de inteligência contra ameaças descobriram que o malware Gimmick macOS se comunica somente por meio do servidor C2 hospedado no Google Drive. O primeiro envio de amostra desse malware foi relatado por volta de março.
  • Esse malware é distribuído como um arquivo CorelDRAW que pesa 713,77 KB: '2a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f.mlwr'
  • Essa amostra de arquivo do CorelDRAW é do tipo Mach-O. Mach-O, abreviação de formato de arquivo de objeto Mach, é um formato de arquivo para executáveis, código-objeto, bibliotecas compartilhadas, código carregado dinamicamente e despejos principais.
  • Com base nessa observação, os pesquisadores do CloudSEK identificaram várias técnicas usadas pelos agentes de ameaças para contornar as restrições do Mach-O.
  • Os agentes de ameaças também podem ampliar a propagação desse malware usando essas técnicas.

Análise do fórum de crimes cibernéticos

  • Os pesquisadores de inteligência de ameaças da CloudSek também descobriram um agente de ameaças que vende um método que pode executar um arquivo Mach-O em qualquer máquina em todas as versões do macOS, sem a necessidade de Codificando o binário.
  • O ator afirma que esse método remove efetivamente o atributo “com.apple.quarantine” do binário, permitindo a execução do código em qualquer máquina fora da sua.
  • O agente da ameaça menciona que esse método se aplica apenas a dispositivos macOS, e não ao IOS.
  • O ator também anunciou seu malware carregador no fórum de crimes cibernéticos e está procurando ativamente por um parceiro para espalhá-lo.
[caption id="attachment_19432" align="alignnone” width="1299"]Threat actor’s post about Gimmick MacOs Malware on the cybercrime forum Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]

Indicadores de compromisso (IOCs)

Com base nos resultados da verificação do VirusTotal e do Triage, abaixo está uma lista de IOCs para o malware Gimmick macOS: MD523699799f496b8e872d05f19d2b397f8SHA-1fe3a3e65b86d2b07654f9a6104c8cb392c88b7e8SHA-2562a9296ac999e78f6c0bee8aca8bfa4d4638aa30d9c8ccc65124b1cbfc9caab5f

Impacto e mitigação

ImpactoMitigação
  • O malware Gimmick macOS ganha persistência e se comunica por meio do servidor Google Drive C2 do sistema de destino.
  • A amostra de arquivo usada pelo Gimmick também é capaz de ignorar o macOS CoDesign.
  • O software malicioso é capaz de infectar outros dispositivos presentes na rede, para manter a persistência e roubar credenciais.
  • Se o ataque expor informações de identificação pessoal (PII), ele poderá permitir que os agentes de ameaças orquestrem esquemas de engenharia social, ataques de phishing e até mesmo roubo de identidade.
  • Como a reutilização de senhas é uma prática comum, os atores podem aproveitar as credenciais expostas para acessar outras contas do usuário.
  • Use o recurso de segurança de proteção antimalware integrado XProtect da Apple para detecção e remoção de malware com base em assinaturas.
  • Audite e monitore anomalias em locais de persistência de malware, bem como nas redes do sistema, que são indicadores de uma possível infecção por malware.
  • Verifique possíveis soluções alternativas e patches enquanto mantém as portas abertas.
  • Use MFA (autenticação multifator) em todos os logins.

Referências

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more