Malware para Mac NokNok
El actor de delitos cibernéticos del estado-nación identificado como APT35 de Irán se ha asociado con una ola de ataques de phishing dirigidos que afectan a los sistemas operativos Windows y macOS. Estos ataques tienen como objetivo infiltrarse en los sistemas con herramientas de malware especializadas. El análisis de los ataques APT35 reveló que los piratas informáticos emplearon varios proveedores de alojamiento en la nube para establecer una cadena de infección única.
Los ciberdelincuentes también emplearon dos amenazas de malware previamente desconocidas. En los sistemas Windows, APT35 utilizó una puerta trasera de PowerShell recién descubierta llamada GorjolEcho. Alternativamente, si se descubrió que las víctimas estaban usando un dispositivo Apple, los piratas informáticos cambiaron a una cadena de infección modificada que involucraba una amenaza de malware para Mac rastreada como NokNok.
Esto muestra los intentos del actor de explotar vulnerabilidades específicas de macOS.
El grupo de ciberdelincuencia APT35 continúa evolucionando sus técnicas de phishing selectivo
APT35, también conocido como Charming Kitten, TA453, Mint Sandstorm y Yellow Garuda, es un destacado grupo de amenazas con vínculos con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Este grupo ha estado activo desde al menos 2011, participando en varias operaciones cibernéticas dirigidas a individuos y organizaciones. En su incesante búsqueda de actividades de espionaje, APT35 empleó una táctica conocida como suplantación de identidad de múltiples personas, que involucra a los actores de amenazas asumiendo múltiples identidades para engañar a los objetivos y obtener acceso no autorizado a información confidencial.
Estas técnicas sofisticadas empleadas por APT35 destacan sus esfuerzos continuos para llevar a cabo operaciones de espionaje cibernético dirigidas. El grupo selecciona estratégicamente objetivos de alto perfil y emplea varias tácticas, como el phishing y la utilización de herramientas personalizadas, para comprometer los sistemas y obtener acceso no autorizado a información confidencial. Se ha observado que APT35 actualizó sus tácticas utilizando una versión mejorada de un implante PowerShell conocido como POWERSTAR , también conocido como GhostEcho o CharmPower.
En una secuencia de ataque específica que ocurrió a mediados de mayo de 2023, los actores de amenazas de APT35 lanzaron una campaña de phishing. Su objetivo era un experto en seguridad nuclear asociado con un grupo de expertos con sede en EE. UU. centrado en asuntos exteriores. El ataque implicó el envío de correos electrónicos engañosos que contenían un enlace malicioso disfrazado de macro de Google Script. Una vez que se hizo clic, el enlace redirigió al objetivo a una URL de Dropbox que alberga un archivo RAR.
El APT35 empleó diferentes cadenas de ataque para comprometer a los usuarios de Apple con el malware NokNok
Si el objetivo elegido está utilizando un dispositivo Apple, APT35 supuestamente ajustó sus métodos y ejecutó una táctica secundaria. Esto implicó enviar un segundo correo electrónico que contenía un archivo ZIP que incorporaba un archivo binario Mach-O. El archivo se disfrazó como una aplicación VPN, pero en realidad funcionaba como un AppleScript. Cuando se ejecuta, este script establece una conexión con un servidor remoto para iniciar la descarga de un backdoor llamado NokNok.
El backdoor NokNok, una vez instalado, recupera hasta cuatro módulos que poseen varias capacidades. Estos módulos permiten la recopilación de información, como procesos en ejecución, aplicaciones instaladas y metadatos del sistema. Además, facilitan el establecimiento de persistencia dentro del sistema comprometido mediante el uso de LaunchAgents.
En particular, la funcionalidad de estos módulos tiene un parecido sorprendente con los módulos asociados con POWERSTAR, una herramienta identificada anteriormente empleada por APT35. Esto indica una superposición significativa en las capacidades y el propósito de las dos cepas de malware. Además, NokNok exhibe similitudes de código con el malware macOS que anteriormente se atribuyó al mismo grupo de ciberdelincuencia en 2017.
Para mejorar aún más sus tácticas, los piratas informáticos también establecieron un sitio web fraudulento para compartir archivos. Es probable que este sitio web sirva como una forma de tomar las huellas dactilares de los visitantes, recopilar información sobre posibles víctimas y actuar como un mecanismo de seguimiento para monitorear el éxito de sus ataques.
Estas técnicas adaptativas empleadas por TA453 demuestran sus esfuerzos continuos para dirigirse a los usuarios de Apple y explotar sus sistemas. Subraya la importancia de mantener sólidas prácticas de seguridad, como actualizar regularmente el software, emplear soluciones antivirus confiables y tener cuidado al interactuar con archivos adjuntos de correo electrónico o al descargar archivos de fuentes no confiables. Al mantenerse informados sobre las amenazas en evolución e implementar medidas de seguridad integrales, los usuarios pueden protegerse mejor contra las actividades de los actores de amenazas como APT35.
