NokNok: Neue Malware hat es auf MacOS abgesehen

Eine neue Kampagne der APT-Gruppe Charming Kitten, die auch unter den Namen APT42 und Phosphorus bekannt ist, attackiert derzeit Apple-Nutzer. Dabei setzen die Hacker diesmal auf eine andere Infektionskette als bei ihren bisherigen Angriffen, die sich vorwiegend auf Windows-User fokussierten. Anstatt die Malware über infizierte Word-Dokumente zu verbreiten, kommen LNK-Verknüpfungsdateien zum Einsatz.

Charming Kitten ist für Sicherheitsforscher keine Unbekannte. Bereits seit 2015 ist die Gruppe aktiv und steckt laut Untersuchungen von Mandiant hinter mindestens 30 Hacking-Kampagnen in 14 Ländern. Google hat den Bedrohungsakteur darüber hinaus mit dem iranischen Staat in Verbindung gebracht, genauer gesagt mit dem Korps der Islamischen Revolutionsgarden (IRGC). Im September 2022 gelang es den US-Behörden, einige Mitglieder zu identifizieren und für ihre Machenschaften zur Rechenschaft zu ziehen.

Doch neueren Untersuchungen zufolge haben diese Erfolge nicht dazu geführt, dass Charming Kitten ihre Aktivitäten einstellt. Laut einem Bericht von Sicherheitsforschern von Proofpoint haben sie sich eine neue Strategie zugelegt und verbreiten ihre Malware jetzt über LNK-Dateien.

Dabei geben sie sich als Nuklear-Experten aus den USA aus und treten an die Zielpersonen mit dem Angebot heran, Entwürfe zu außenpolitischen Themen zu diskutieren. Dazu hätten sie einige Ideen zusammengetragen, die der Empfänger der Phishing-Mail gerne lesen solle. In vielen Fällen schalten die Angreifer zusätzlich andere Personen in das Gespräch ein, die in der ersten Mail als Projektbeteiligte genannt werden. So soll ein Gefühl der Legitimität vermittelt und eine Beziehung zur Zielperson aufgebaut werden. Ist das gelungen, erhält das Opfer einen Link, über den es die vermeintlichen Dokumente zum Lesen herunterladen könne. Darin enthalten ist ein Google-Script-Makro, das zu einer Dropbox weiterleitet. Diese externe Quelle hostet ein passwortgeschütztes RAR-Archiv mit einem Malware-Dropper, der PowerShell-Code und eine LNK-Datei nutzt, um die Malware von einem Cloud-Hosting-Anbieter aus bereitzustellen.

Lädt das Opfer die verseuchten Dateien herunter, infiziert es sein System mit der Malware GorjolEcho, eine einfache Hintertür, die Befehle von den Hackern annimmt und ausführt. Um keinen Verdacht zu erregen, öffnet GorjolEcho außerdem eine PDF-Datei, deren Inhalt zur zuvor geführten Diskussion passt.

Diese Malware funktioniert nur bei Nutzern des Windows-Betriebssystems, doch Charming Kitten möchte sein Tätigkeitsfeld auch auf MacOS-User ausweiten. Sobald sie also merken, dass die Infektion mit GorjolEcho nicht erfolgreich war, wird ein neuer Link verschickt, unter dem eine Zip-Datei hinterlegt ist. Diese gibt sich als VPN-App des RUSI (Royal United Services Institute) aus und führt dazu, dass die auf MacOS zugeschnittene Malware NokNok heruntergeladen wird. Diese sammelt Systeminformationen, darunter die Version des Betriebssystems, laufende Prozesse und installierte Anwendungen, verschlüsselt alle gesammelten Daten, kodiert sie im base64-Format und exfiltriert sie.

Laut Untersuchungen von Proofpoint könnte NokNok außerdem über weitere Module mit spezifischeren spionagebezogenen Funktionen verfügen. Darauf weisen Übereinstimmungen im Code von NokNok mit der Malware GhostEcho hin.

In den vergangenen Monaten hat die Zahl der Angriffe auf das Apple-Betriebssystem zugenommen. Während es bislang immer hieß, dass MacOS-Nutzer sich um Malware nur wenige Sorgen machen müssten, zeigen die aktuellen Kampagnen, dass dies nicht länger der Fall ist. Hackergruppen wie Charming Kitten verfügen nicht nur über eine große Anpassungsfähigkeit, sondern auch über das nötige Wissen, um alle gängigen Betriebssysteme anzugreifen.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel