Er du blevet kontaktet af atomeksperter fra USA? Så hold øje med denne malware

Annonceindlæg tema

AI i bevægelse - forretning, agenter og potentiale

I dette særtema om aspekter af AI ser vi på skiftet fra sprogmodeller til AI-agenter, og hvordan virksomheder kan navigere i spændet mellem teknologisk hastighed og behovet for menneskelig kontrol.

Nok nok... Hvem dér? Malware. Malware hvem? Noknok.... Hva'?

Okay, nogen banke-på vittigheder virker ikke på skrift (eller generelt).

Men ikke desto mindre, har sikkerhedsfolk observeret en ny malware-kampagne, hvor hackere bruger såkaldt NokNok-malware rettet mod macOS-systemer.

Som det ser ud nu, er Charming Kitten APT-gruppen (også kendt som APT42 eller Phosphorus) de sandsynlige bagmænd bag kampagnen, som startede i maj, fortæller Bleeping Computer.

Google har før knyttet APT42 til den iranske stat, mere specifikt Islamic Revolutionary Guard Corps (IRGC).

APT42 bruger ofte phishing, som metode for at komme i kontakt med sine ofre. Her udgiver gruppen sig ofte for at være forretningsfolk med et ærinde.

Eksempelvis udgiver gruppen sig for at være atomeksperter fra USA og henvendte sig til sine angrebsmål med et tilbud om at gennemgå udkast om udenrigspolitiske emner.

Angrebene foregår ved, at APT42, efter have vundet offerets tillid, sender offeret et ondsindet link, der indeholder en Google Script-makro, og omdirigerer offeret til en Dropbox-URL.

Denne eksterne kilde er vært for et adgangskodebeskyttet RAR-arkiv med en malware-dropper, der udnytter PowerShell-kode og en LNK-fil til at igangsætte malwaren fra en cloud-hostingudbyder.

Den endelige payload er en bagdør kaldet GorjolEcho, der accepterer og udfører kommandoer fra sine fjernoperatører. For at undgå at vække mistanke vil GorjolEcho åbne en PDF med et emne, der er relevant for den diskussion, angriberne havde med målet tidligere.

Bruger offeret ikke Windows men macOS, sender APT42 i stedet et link til "library-store[.]camdvr[.]org", der er vært for en ZIP-fil, der udgiver sig som en RUSI (Royal United Services Institute) VPN-app.

Når Apple-scriptfilen udføres i arkivet, henter en curl-kommando NokNok-payloaden og etablerer en bagdør til ofrets system.

Og herfra år NokNok ellers i gang med det helt store arejde.

Først genererer malwaren et system-id og derfra overtage kommando- og kontrolserveren (C2) og begynder derefter at eksfiltrere data til den.

NokNok-malwaren indsamler systemoplysninger, og krypterer alle indsamlede data, koder dem i base64-formatet og eksfiltrerer dem.