FortiGuard Labs è a conoscenza di una nuova variante del malware GIMMICK che prende di mira gli utenti asiatici. Scoperto dai ricercatori di Volexity, l’impianto GIMMICK è stato attribuito al gruppo StormCloud APT. Secondo il rapporto, sono state viste varianti di GIMMICK per ambienti macOS e Windows. È stato anche osservato che utilizza comandi e controlli basati su file, in particolare Google Cloud. GIMMICK è stato attribuito ad attori di stati nazionali che operano fuori dalla Cina. Che cos’è GIMMICK? GIMMICK è un impianto simile a un trojan di accesso remoto (RAT) che consente all’attaccante di eseguire varie istruzioni sulla macchina della vittima per un ulteriore movimento laterale. Ciò che lo rende diverso da un RAT è che è di natura asincrona, si muove secondo uno schema predefinito e non fa davvero affidamento su un aggressore per il controllo. Una volta eseguito l’impianto, segue una serie di passaggi per un ulteriore movimento laterale e memorizza tutte le informazioni in una serie di directory. Una volta completati questi passaggi, i dati esfiltrati verranno automaticamente caricati su un server C2 predefinito ospitato su Google Drive. Ciò consente all’impianto di non essere rilevato poiché il traffico verso Google Drive sarebbe considerato traffico pulito e non dannoso. Quali sistemi operativi sono interessati?Piattaforme MacOS e Windows. GIMMICK è attribuito ad altri gruppi? GIMMICK sembra essere attribuito solo a StormCloud. Stato della copertura FortiGuard Labs dispone di una copertura AV in quanto: I clienti che eseguono le definizioni più recenti sono protetti dalla seguente firma (AV): OSX/Gimmick.A!tr
