I ricercatori di Proofpoint hanno scoperto un nuovo malware per macOS, denominato NokNok, che viene utilizzato dal gruppo Charming Kitten durante le attività di cyberspionaggio. I cybercriminali continuano inoltre ad effettuare attacchi contro agenzie governative di vari paesi utilizzando la backdoor GorjolEcho per Windows.
GorjolEcho per Windows e NokNok per macOS
La catena di infezione inizia con l’invio di email di spear phishing. I cybercriminali confezionano email benigne che sembrano provenire da esperti in sicurezza nucleare. Dopo aver ottenuto la fiducia della vittima, Charming Kitten invia un link ad una macro Google Script che effettua il redirecting ad un archivio RAR ospitano su Dropbox.
Il file RAR contiene un dropper che scarica GorjolEcho. La backdoor contatta il server C2 (command and control), dal quale riceve i comandi. Nel frattempo sullo schermo viene mostrato un documento PDF con argomenti correlati all’email.
Qualche settimana dopo, i cybercriminali hanno usato la stessa tecnica, ma per colpire i Mac. In allegato all’email c’era un file ZIP, all’interno del quale dovrebbe esserci un’app VPN che consente di accedere ad un drive condiviso. Quando avviata viene installata la backdoor NokNok per macOS.
Dopo aver ricevuto i comandi dal server C2, il malware inizia ad esfiltrare i dati, tra cui versione del sistema operativo, processi in esecuzione e applicazioni installate. NokNok è modulare, quindi possono essere aggiunte altre funzionalità di spyware. Charming Kitten (noto anche come APT42 o Mint Sandstorm) è un gruppo legato al governo iraniano.