Más malware nuevo está circulando. Un grupo de hackers de China conocido como Storm Cloud ha lanzado un nuevo software malicioso conocido como GIMMICK. La empresa de seguridad Volexity descubrió el malware después de recuperarlo de la RAM de una MacBook Pro con macOS Big Sur 11.6. El dispositivo quedó comprometido a finales de 2021 durante una campaña de ciberespionaje.
Nuevo malware detectado
Volexity afirma que si bien han encontrado versiones de GIMMICK para Windows en el pasado, la variante de MacOS es algo nuevo. El La empresa afirma que Storm Cloud ha lanzado recientemente este malware en toda Asia. Si bien el malware no es nada nuevo, GIMMICK se distingue. Este malware en particular tiene muchas funciones y puede adaptarse a varias plataformas. GIMMICK utiliza servicios de nube pública, como Google Drive, para obtener canales de comando y control (c2). Volexity puede encontrar el virus gracias al error utilizando los mismos canales c2 en todas las variantes, así como rutas de archivos y patrones de comportamiento similares.
Lo que hace que GIMMICK sea tan amenazador es su adaptabilidad. Al explorar la MacBook infectada se descubrió que la ruta de instalación y el nombre del archivo del malware eran exclusivos del sistema. Una vez que GIMMICK se instala, se integra funcionando junto con otros procesos típicos del sistema. También funciona en momentos en que la computadora está en funcionamiento, permitiéndose integrarse perfectamente con cualquier otro programa en ejecución.
Protegiéndote a ti mismo
Apple es consciente de la situación y ha estado trabajando estrechamente con Volexity para desarrollar una solución. El 17 de marzo, Apple impulsó nuevas firmas en XProtect y MRT para combatir GIMMICK.
Si bien estas actualizaciones se ejecutan automáticamente, existen formas de garantizar que las defensas estén funcionando. Para aquellos que no están seguros, verifique la configuración de MacOS. Ir a Preferencias del sistema > Actualización de software > Avanzadoy verificar que Instalar archivos de datos del sistema y actualizaciones de seguridad. está habilitado. Instrucciones más detalladas se puede encontrar aquí.
Se pueden encontrar detalles completos sobre cómo funciona el malware. en el blog de Volexity. Para protegerse, además de asegurarse de que su Mac esté instalando actualizaciones de seguridad, Volexity también sugiere tomar las siguientes medidas:
- Asegúrese de monitorear y auditar periódicamente las ubicaciones persistentes, como LaunchDaemons y LaunchAgents en dispositivos MacOS terminales. Básicamente, asegúrese de ejecutar sólo software en el que confíe. Volexity recomienda usar cualquiera de los dos Bloquear o TOC Toc.
- Supervise la actividad de su red en busca de actividad de proxy anómala y escaneo interno.
- Asegúrese de que su Mac esté ejecutando el software XProtect y MRT de Apple y que el software esté actualizado.
