Investigadores de ciberseguridad observaron una nueva campaña que atribuyen al grupo «Charming Kitten» APT donde los piratas informáticos utilizaron el malware "NokNok" que apunta a los sistemas macOS.
La campaña comenzó en mayo y se basa en una cadena de infección diferente a la observada anteriormente, con archivos LNK que implementan las cargas útiles en lugar de los típicos documentos de Word maliciosos vistos en ataques anteriores del grupo.
Un poco de historia
El Grupo Charming Kitten también es conocido como APT42 o Phosphorus y ha lanzado al menos 30 operaciones en 14 países desde 2015.
Google ha vinculado al actor de amenazas con el estado iraní, más específicamente, el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
En septiembre de 2022, el gobierno de EE. UU. logró identificar y acusar a miembros del grupo de amenazas.
Expertos en ciberseguridad informan que el actor de amenazas ahora ha abandonado los métodos de infección basados en macros que involucran documentos de Word entrelazados y, en su lugar, implementa archivos LNK para cargar sus cargas útiles.
Con respecto a los señuelos de phishing y los métodos de ingeniería social vistos en la campaña, los piratas informáticos se hicieron pasar por expertos nucleares de los EE. UU. y se acercaron a los objetivos con una oferta para revisar borradores sobre temas de política exterior.
Modus Operandi
En muchos casos, los atacantes insertan otras personas en la conversación para agregar un sentido de legitimidad y establecer una relación con el objetivo.
Se ha documentado la suplantación o la suposición de una persona falsa de Charming Kitten en los ataques de phishing, al igual que su uso de "títeres" para crear hilos de conversación realistas.
Los Ataques en MacOS
Si la víctima usa macOS, de lo que los piratas informáticos suelen darse cuenta después de no poder infectarlos con la carga útil de Windows, envían un nuevo enlace a "library-store[.]camdvr[.]org" que aloja un archivo ZIP disfrazado de RUSI (Real Instituto de Servicios Unidos) aplicación VPN.
Correo electrónico de seguimiento enviado a usuarios de macOS
Sitio falso de RUSI VPN que deja caer el malware NokNok
Al ejecutar el archivo de script de Apple en el archivo, un comando curl obtiene la carga útil de NokNok y establece una puerta trasera en el sistema de la víctima.
Cadena de infección NokNok
NokNok genera un identificador del sistema y luego usa cuatro módulos de secuencias de comandos bash para establecer la persistencia, establecer comunicación con el servidor de comando y control (C2) y luego comienza a filtrar datos en él.
Módulos NokNok
El malware NokNok recopila información del sistema que incluye la versión del sistema operativo, los procesos en ejecución y las aplicaciones instaladas.
NokNok cifra todos los datos recopilados, los codifica en formato base64 y los extrae.
Los expertos mencionaronque NokNok podría presentar una funcionalidad más específica relacionada con el espionaje a través de otros módulos no vistos.
La sospecha se basa en similitudes de código con GhostEcho, analizado previamente por los especialistas.
Esa puerta trasera presentaba módulos que permitían tomar capturas de pantalla, ejecutar comandos y limpiar el rastro de infección. Es probable que NokNok también tenga estas funciones.
En general, esta campaña muestra que Charming Kitten tiene un alto grado de adaptabilidad, es capaz de apuntar a los sistemas macOS cuando sea necesario y destaca la creciente amenaza de las campañas de malware sofisticado para los usuarios de macOS.