top of page
  • Foto del escritorConsultor Virtual CISO

Los hackers de «Charming Kitten» están utilizando el malware NokNok para macOS


Investigadores de ciberseguridad observaron una nueva campaña que atribuyen al grupo «Charming Kitten» APT donde los piratas informáticos utilizaron el malware "NokNok" que apunta a los sistemas macOS.


La campaña comenzó en mayo y se basa en una cadena de infección diferente a la observada anteriormente, con archivos LNK que implementan las cargas útiles en lugar de los típicos documentos de Word maliciosos vistos en ataques anteriores del grupo.



Un poco de historia


El Grupo Charming Kitten también es conocido como APT42 o Phosphorus y ha lanzado al menos 30 operaciones en 14 países desde 2015.


Google ha vinculado al actor de amenazas con el estado iraní, más específicamente, el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).


En septiembre de 2022, el gobierno de EE. UU. logró identificar y acusar a miembros del grupo de amenazas.


Expertos en ciberseguridad informan que el actor de amenazas ahora ha abandonado los métodos de infección basados ​​en macros que involucran documentos de Word entrelazados y, en su lugar, implementa archivos LNK para cargar sus cargas útiles.


Con respecto a los señuelos de phishing y los métodos de ingeniería social vistos en la campaña, los piratas informáticos se hicieron pasar por expertos nucleares de los EE. UU. y se acercaron a los objetivos con una oferta para revisar borradores sobre temas de política exterior.


Modus Operandi

En muchos casos, los atacantes insertan otras personas en la conversación para agregar un sentido de legitimidad y establecer una relación con el objetivo.


Se ha documentado la suplantación o la suposición de una persona falsa de Charming Kitten en los ataques de phishing, al igual que su uso de "títeres" para crear hilos de conversación realistas.


Los Ataques en MacOS


Si la víctima usa macOS, de lo que los piratas informáticos suelen darse cuenta después de no poder infectarlos con la carga útil de Windows, envían un nuevo enlace a "library-store[.]camdvr[.]org" que aloja un archivo ZIP disfrazado de RUSI (Real Instituto de Servicios Unidos) aplicación VPN.


Correo electrónico de seguimiento enviado a usuarios de macOS


Sitio falso de RUSI VPN que deja caer el malware NokNok


Al ejecutar el archivo de script de Apple en el archivo, un comando curl obtiene la carga útil de NokNok y establece una puerta trasera en el sistema de la víctima.


Cadena de infección NokNok


NokNok genera un identificador del sistema y luego usa cuatro módulos de secuencias de comandos bash para establecer la persistencia, establecer comunicación con el servidor de comando y control (C2) y luego comienza a filtrar datos en él.


Módulos NokNok


El malware NokNok recopila información del sistema que incluye la versión del sistema operativo, los procesos en ejecución y las aplicaciones instaladas.


NokNok cifra todos los datos recopilados, los codifica en formato base64 y los extrae.


Los expertos mencionaronque NokNok podría presentar una funcionalidad más específica relacionada con el espionaje a través de otros módulos no vistos.


La sospecha se basa en similitudes de código con GhostEcho, analizado previamente por los especialistas.


Esa puerta trasera presentaba módulos que permitían tomar capturas de pantalla, ejecutar comandos y limpiar el rastro de infección. Es probable que NokNok también tenga estas funciones.


En general, esta campaña muestra que Charming Kitten tiene un alto grado de adaptabilidad, es capaz de apuntar a los sistemas macOS cuando sea necesario y destaca la creciente amenaza de las campañas de malware sofisticado para los usuarios de macOS.



5 visualizaciones0 comentarios

Comments


  • LinkedIn
  • YouTube
bottom of page