NokNok: nuovo malware per macOS di Charming Kitten

NokNok: nuovo malware per macOS di Charming Kitten

I cybercriminali iraniani del gruppo Charming Kitten hanno sviluppato la backdoor NokNok per macOS che viene usata per il cyberspionaggio.
NokNok: nuovo malware per macOS di Charming Kitten
I cybercriminali iraniani del gruppo Charming Kitten hanno sviluppato la backdoor NokNok per macOS che viene usata per il cyberspionaggio.

I ricercatori di Proofpoint hanno scoperto un nuovo malware per macOS, denominato NokNok, che viene utilizzato dal gruppo Charming Kitten durante le attività di cyberspionaggio. I cybercriminali continuano inoltre ad effettuare attacchi contro agenzie governative di vari paesi utilizzando la backdoor GorjolEcho per Windows.

GorjolEcho per Windows e NokNok per macOS

La catena di infezione inizia con l’invio di email di spear phishing. I cybercriminali confezionano email benigne che sembrano provenire da esperti in sicurezza nucleare. Dopo aver ottenuto la fiducia della vittima, Charming Kitten invia un link ad una macro Google Script che effettua il redirecting ad un archivio RAR ospitano su Dropbox.

Il file RAR contiene un dropper che scarica GorjolEcho. La backdoor contatta il server C2 (command and control), dal quale riceve i comandi. Nel frattempo sullo schermo viene mostrato un documento PDF con argomenti correlati all’email.

Qualche settimana dopo, i cybercriminali hanno usato la stessa tecnica, ma per colpire i Mac. In allegato all’email c’era un file ZIP, all’interno del quale dovrebbe esserci un’app VPN che consente di accedere ad un drive condiviso. Quando avviata viene installata la backdoor NokNok per macOS.

Dopo aver ricevuto i comandi dal server C2, il malware inizia ad esfiltrare i dati, tra cui versione del sistema operativo, processi in esecuzione e applicazioni installate. NokNok è modulare, quindi possono essere aggiunte altre funzionalità di spyware. Charming Kitten (noto anche come APT42 o Mint Sandstorm) è un gruppo legato al governo iraniano.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 10 lug 2023
Link copiato negli appunti