Studiuesit e Proofpoint kanë zbuluar një malware të ri për macOS, të quajtur NokNok, i cili përdoret nga grupi Charming Kitten në aktivitetet e spiunazhit kibernetik. Kriminelët kibernetikë vazhdojnë gjithashtu të kryejnë sulme kundër agjencive qeveritare të vendeve të ndryshme duke përdorur prapavijën GorjolEcho për Windows.
GorjolEcho për Windows dhe NokNok për macOS
Zinxhiri i infeksionit fillon me dërgimin e postës elektronike të spear phishing. Kriminelët kibernetikë paketojnë emaile beninje që duket se vijnë nga ekspertë të sigurisë bërthamore. Pasi fiton besimin e viktimës, Charming Kitten dërgon një lidhje në një makro Google Script që ridrejton në një arkiv RAR të vendosur në Dropbox.
Skedari RAR përmban një pikatore që shkarkon GorjolEcho. Backdoor kontakton serverin C2 (komandë dhe kontroll), nga i cili merr komanda. Ndërkohë, në ekran shfaqet një dokument PDF me tema që lidhen me emailin.
Disa javë më vonë, kriminelët kibernetikë përdorën të njëjtën teknikë, por për të synuar kompjuterët Mac. E-mail-it i ishte bashkangjitur një skedar ZIP, brenda të cilit duhet të ishte një aplikacion VPN që lejon aksesin në një disk të përbashkët. Kur lansohet, instalohet porta e pasme e NokNok për macOS.
Pas marrjes së komandave nga serveri C2, malware fillon të ekfiltrojë të dhëna, duke përfshirë versionin e OS, proceset e ekzekutimit dhe aplikacionet e instaluara. NokNok është modular, kështu që mund të shtohen veçori të tjera spyware. Charming Kitten (i njohur gjithashtu si APT42 ose Mint Sandstorm) është një grup i lidhur me qeverinë iraniane.
Discussion about this post