Sebbene meno soggetti ad essere presi di mira da parte dei malintenzionati, anche i Mac, un tempo reputati invulnerabili, sono ora spesso presi di mira da malware e altre minacce informatiche. A tal riguardo, i ricercatori di Proofpoint hanno da poco comunicato di aver scovato un nuovo virus per macOS, denominato NokNok.
macOS: scovato il nuovo malware NokNok di Charming Kitten
Il malware è di natura modulare e viene utilizzato dal gruppo Charming Kitten, che è legato al governo iraniano, durante le attività di cyberspionaggio. Inoltre, i cybercriminali continuano ad effettuare attacchi contro agenzie governative di vari paesi sfruttando la backdoor GorjolEcho per Windows.
Nel caso di Windows, l'infezione ha inizio con l’invio di email di spear phishing. I cybercriminali generano email benigne che sembrano provenire da esperti in sicurezza nucleare e dopo aver ottenuto la fiducia degli utenti presi di mira inviano uno link ad una macro Google Script che effettua il redirecting ad un file RAR su Dropbox.
L'archivio compresso contiene un dropper che scarica GorjolEcho, dopodiché la backdoor contatta il server C2 (command and control) per ottenere i comandi. Nel mentre, sullo schermo del computer della vittima compare un documento PDF con argomenti correlati all’email.
Nel caso di macOS, invece, l'archivio compresso allegato all'email dovrebbe contenere un’app VPN che consente di accedere ad un drive condiviso. Quando avviata viene installata la backdoor NokNok per macOS.
Dopo aver ricevuto i comandi dal server C2, il malware inizia ad esfiltrare i dati, tra cui versione del sistema operativo, processi in esecuzione e applicazioni installate.