Investigadores de seguridad han detectado una nueva campaña atribuida al grupo APT Charming Kitten, en la cual utilizaron un malware denominado NokNok para atacar sistemas macOS.
La campaña, que comenzó en mayo, emplea una cadena de infección distinta a la observada anteriormente. En lugar de utilizar los habituales documentos maliciosos de Word vistos en ataques anteriores del grupo, se valen de archivos LNK para desplegar los payloads.
Charming Kitten, conocido también como APT42 o Phosphorus, ha llevado a cabo al menos 30 operaciones en 14 países distintos desde 2015, según informes de Mandiant.
Google ha vinculado a este grupo de amenazas con el estado iraní, más específicamente con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC, por sus siglas en inglés).
El año pasado, el gobierno de Estados Unidos dio un paso importante al identificar y acusar a algunos miembros de este grupo. Sin embargo, la historia continúa y Charming Kitten sigue siendo una preocupación latente en el panorama de la ciberseguridad.
Recientemente, según un informe de Proofpoint, estos actores de amenazas han evolucionado en sus métodos de infección. Han abandonado el enfoque tradicional basado en macros en documentos de Word manipulados, y han adoptado una nueva estrategia utilizando archivos LNK para cargar sus payloads.
Además, su táctica de phishing y de ingeniería social se ha vuelto aún más sofisticada. Los criminales se hacen pasar por expertos nucleares de Estados Unidos y se acercan a sus objetivos ofreciéndoles revisar borradores sobre temas de política exterior. Para darle mayor credibilidad a la interacción incluyen a otras identidades en la conversación, creando una sensación de legitimidad y estableciendo una relación con el objetivo.
El grupo es además, conocido por utilizar técnicas de suplantación de identidad y también, por crear hilos de conversación realistas mediante el uso de «títeres». Todo esto les permite ganar la confianza de sus víctimas antes de lanzar sus ataques.
Ataques en Windows
Después de ganarse la confianza de la víctima, envían un enlace malicioso que redirige a la víctima a una URL de Dropbox. En esta fuente externa, se aloja un archivo RAR protegido con contraseña que contiene un dropper de malware. Dicho dropper utiliza código de PowerShell y un archivo LNK para preparar el malware desde un proveedor de alojamiento en la nube.
El payload final es «GorjolEcho«, es una puerta trasera sencilla que permite a los operadores remotos enviar y ejecutar comandos en el sistema comprometido. Para evitar levantar sospechas, GorjolEcho abre un PDF con un tema relevante a la discusión previa que los atacantes tuvieron con la víctima.
Ataques en macOS
Si la víctima utiliza un sistema macOS y no ha sido infectada mediante el payload de Windows, los atacantes envían un nuevo enlace a «library-store[.]camdvr[.]org». Este enlace aloja un archivo ZIP que se hace pasar por una aplicación de VPN del Royal United Services Institute (RUSI).
Al ejecutar el archivo de script de Apple contenido en el archivo comprimido, se activa un comando curl que obtiene la carga útil de NokNok y establece una puerta trasera en el sistema de la víctima. NokNok, por su parte, recopila información del sistema, incluyendo la versión del sistema operativo, los procesos en ejecución y las aplicaciones instaladas. Luego, cifra y exfiltra los datos recopilados hacia un servidor de comando y control (C2).
Es importante destacar que NokNok podría contar con funcionalidades de espionaje aún más específicas a través de módulos no identificados hasta el momento. La similitud de código con GhostEcho, una puerta trasera previamente analizada por Check Point, sugiere la posible existencia de características adicionales, como la capacidad de tomar capturas de pantalla, ejecutar comandos y borrar el rastro de la infección.
Esta campaña de Charming Kitten demuestra su adaptabilidad y su capacidad para atacar sistemas macOS cuando lo consideran necesario. Además, pone de manifiesto la creciente amenaza que enfrentan los usuarios de macOS debido a las campañas de malware cada vez más sofisticadas. Es fundamental que los usuarios sean conscientes de estas amenazas y tomen las medidas necesarias para proteger sus sistemas y datos contra los ataques de Charming Kitten y otros actores maliciosos.
Más Información:
- https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware
- https://research.checkpoint.com/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular-powershell-toolkit/
Deja una respuesta