NokNok Mac Malware

Os ciber-criminosos do Irã, identificados como APT35 foram associado a uma onda de ataques de spear phishing direcionados que afetam os sistemas operacionais Windows e macOS. Esses ataques visam se infiltrar nos sistemas com ferramentas de malware especializadas. A análise dos ataques APT35 revelou que os hackers empregaram vários provedores de hospedagem em nuvem para estabelecer uma cadeia de infecção única.

Os cibercriminosos também empregaram duas ameaças de malware anteriormente desconhecidas. Em sistemas Windows, o APT35 utilizou um backdoor do PowerShell recém-descoberto chamado GorjolEcho. Alternativamente, se as vítimas estivessem usando um dispositivo Apple, os hackers mudavam para uma cadeia de infecção modificada que envolvia uma ameaça de malware para Mac rastreada como NokNok.

Isso mostra as tentativas do ator de explorar vulnerabilidades específicas do macOS.

O Grupo de Ciber-Criminosos APT35 Continua a Evoluir Suas Técnicas de Spear-Phishing

O APT35, também conhecido como Charming Kitten, TA453, Mint Sandstorm e Yellow Garuda, é um proeminente grupo de ameaças com laços com o Corpo de Guardas Revolucionários Islâmicos do Irã (IRGC). Este grupo está ativo desde pelo menos 2011, participando de várias operações cibernéticas direcionadas a indivíduos e organizações. Em sua busca incansável por atividades de espionagem, o APT35 empregou uma tática conhecida como personificação de várias pessoas, que envolve os atores da ameaça assumindo várias identidades para enganar os alvos e obter acesso não autorizado a informações confidenciais.

Essas técnicas sofisticadas empregadas pelo APT35 destacam seus esforços contínuos para realizar operações de espionagem cibernética direcionadas. O grupo seleciona estrategicamente alvos de alto perfil e emprega várias táticas, como phishing e a utilização de ferramentas personalizadas, para comprometer sistemas e obter acesso não autorizado a informações confidenciais. Observou-se que o APT35 atualizou suas táticas utilizando uma versão aprimorada de um implante PowerShell conhecido como POWERSTAR, também conhecido como GhostEcho ou CharmPower.

Em uma sequência de ataque específica que ocorreu em meados de maio de 2023, os agentes de ameaças do APT35 lançaram uma campanha de phishing. Seu alvo era um especialista em segurança nuclear associado a um think tank baseado nos Estados Unidos com foco em relações exteriores. O ataque envolveu o envio de e-mails enganosos contendo um link malicioso disfarçado de macro do Google Script. Uma vez clicado, o link redirecionava o alvo para um URL do Dropbox que hospedava um arquivo RAR.

O APT35 Empregou Diferentes Cadeias de Ataque para Comprometer os Usuários da Apple com o Malware NokNok

Se o alvo escolhido estiver utilizando um dispositivo Apple, o APT35 ajustou seus métodos e executou uma tática secundária. Isso envolveu o envio de um segundo e-mail contendo um arquivo ZIP que incorporou um arquivo binário Mach-O. O arquivo se disfarçou como um aplicativo VPN, mas, na realidade, funcionava como um AppleScript. Quando executado, esse script estabelece uma conexão com um servidor remoto para iniciar o download de um backdoor chamado NokNok.

O backdoor NokNok, após a instalação, recupera até quatro módulos que possuem vários recursos. Esses módulos permitem a coleta de informações como processos em execução, aplicativos instalados e metadados do sistema. Além disso, eles facilitam o estabelecimento de persistência dentro do sistema comprometido, utilizando LaunchAgents.

Notavelmente, a funcionalidade desses módulos tem uma notável semelhança com os módulos associados ao POWERSTAR, uma ferramenta previamente identificada empregada pelo APT35. Isso indica uma sobreposição significativa nas capacidades e finalidade das duas variedades de malware. Além disso, NokNok exibe semelhanças de código com malware macOS que foi anteriormente atribuído ao mesmo grupo de cibercrimes em 2017.

Para aprimorar ainda mais suas táticas, os hackers também criaram um site fraudulento de compartilhamento de arquivos. Este site provavelmente serve como uma maneira de identificar as impressões digitais dos visitantes, coletar informações sobre possíveis vítimas e atuar como um mecanismo de rastreamento para monitorar o sucesso de seus ataques.

Essas técnicas adaptativas empregadas pelo TA453 demonstram seus esforços contínuos para atingir os usuários da Apple e explorar seus sistemas. Ele ressalta a importância de manter práticas de segurança fortes, como atualização regular de software, emprego de soluções antivírus confiáveis e cautela ao interagir com anexos de e-mail ou baixar arquivos de fontes não confiáveis. Ao se manter informado sobre as ameaças em evolução e implementar medidas de segurança abrangentes, os usuários podem se proteger melhor contra as atividades de agentes de ameaças como o APT35.