Søg

Er du blevet kontaktet af atomeksperter fra USA? Så hold øje med denne malware

Ny såkaldt NokNok-malware inficerer lige nu Windows og macOS. Læs alt om malwaren og bagmændene her.

10. juli 2023 kl. 08.35
Artikel top billede

(Foto: Jefferson Santos)

Ditte Vinterberg Weng Ditte Vinterberg Weng

Nok nok... Hvem dér? Malware. Malware hvem? Noknok.... Hva'?

Okay, nogen banke-på vittigheder virker ikke på skrift (eller generelt).

Men ikke desto mindre, har sikkerhedsfolk observeret en ny malware-kampagne, hvor hackere bruger såkaldt NokNok-malware rettet mod macOS-systemer.

Som det ser ud nu, er Charming Kitten APT-gruppen (også kendt som APT42 eller Phosphorus) de sandsynlige bagmænd bag kampagnen, som startede i maj, fortæller Bleeping Computer.

Google har før knyttet APT42 til den iranske stat, mere specifikt Islamic Revolutionary Guard Corps (IRGC).

APT42 bruger ofte phishing, som metode for at komme i kontakt med sine ofre. Her udgiver gruppen sig ofte for at være forretningsfolk med et ærinde.

Eksempelvis udgiver gruppen sig for at være atomeksperter fra USA og henvendte sig til sine angrebsmål med et tilbud om at gennemgå udkast om udenrigspolitiske emner.

Angrebene foregår ved, at APT42, efter have vundet offerets tillid, sender offeret et ondsindet link, der indeholder en Google Script-makro, og omdirigerer offeret til en Dropbox-URL.

Denne eksterne kilde er vært for et adgangskodebeskyttet RAR-arkiv med en malware-dropper, der udnytter PowerShell-kode og en LNK-fil til at igangsætte malwaren fra en cloud-hostingudbyder.

Den endelige payload er en bagdør kaldet GorjolEcho, der accepterer og udfører kommandoer fra sine fjernoperatører. For at undgå at vække mistanke vil GorjolEcho åbne en PDF med et emne, der er relevant for den diskussion, angriberne havde med målet tidligere.

Bruger offeret ikke Windows men macOS, sender APT42 i stedet et link til "library-store[.]camdvr[.]org", der er vært for en ZIP-fil, der udgiver sig som en RUSI (Royal United Services Institute) VPN-app.

Når Apple-scriptfilen udføres i arkivet, henter en curl-kommando NokNok-payloaden og etablerer en bagdør til ofrets system.

Og herfra år NokNok ellers i gang med det helt store arejde.

Først genererer malwaren et system-id og derfra overtage kommando- og kontrolserveren (C2) og begynder derefter at eksfiltrere data til den.

NokNok-malwaren indsamler systemoplysninger, og krypterer alle indsamlede data, koder dem i base64-formatet og eksfiltrerer dem.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Cloud & AI Festival 2026

    Event: Computerworld Cloud & AI Festival 2026

    Digital transformation | Ballerup

    Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

    16 & 17 september 2026 | Gratis deltagelse

    Region Midtjylland

    Tester til LUNA – tæt på udvikling, kvalitet og nationale sundhedsløsninger (barselsvikariat)

    Midtjylland

    Patent- og Varemærkestyrelsen

    Forretningsanalytiker

    Københavnsområdet

    Styrelsen For It og Læring

    Vil du styrke informationssikkerheden og compliance i Undervisningsministeriet?

    Midtjylland

    Everllence

    Head of Digital Solutions

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Ny opdatering kan gøre din Windows 11 hurtigere: Sådan aktiverer du den nye turbo-knap
    2 Han har prøvekørt det nye europæiske alternativ till Microsoft Office: “Første gang jeg ser et reelt alternativ"
    3 Kendt open source-organisation raser over Microsoft-alternativet Euro-Office: Gavner i al hemmelighed Microsoft
    4 Nationalmuseet ramt af cyberangreb
    5 Morgen-briefing: Garmin-ure går i sort verden over – nu kommer fikset / Ny europæisk AI-tjeneste spiller nu med Office-apps /
    6 Køberne vælter ind: Verdenshistoriens største børsnotering allerede overtegnet fire gange
    7 Kan den norske Remarkable-tablet redde os fra amerikansk tech og nettets kværnende malstrøm?
    8 Nu speedes din iPhone op: Den nye iOS27 er op til 80 procent hurtigere

    Se seneste uge