Instruções de remoção para o malware backdoor NokNok
Escrito por Tomas Meskauskas a
Que tipo de malware é o NokNok?
NokNok é o nome de um malware do tipo backdoor que tem como alvo o macOS (Mac Operating Systems). Os programas nesta classificação são concebidos para abrir uma "backdoor" para componentes maliciosos adicionais em sistemas comprometidos.
O NokNok foi utilizado em ataques de ciberespionagem dirigidos a indivíduos e entidades associados aos assuntos externos e à segurança nuclear dos EUA. Estes ataques foram preparados tanto para utilizadores de Windows como de Mac; estes últimos tinham como objetivo infectar os seus dispositivos com o malware NokNok.
Existem provas que ligam estas campanhas a agentes de ameaça que apoiam Islamic Revolutionary Guard Corps (IRGC), especificamente a IRGC Intelligence Organization.
Visão geral do malware NokNok
As campanhas de proliferação do NokNok observadas começaram com anexos maliciosos em emails de spam. O email fraudulento incluía cartas aparentemente inócuas e tematicamente relevantes para as vítimas pretendidas. Estes emails incluíam anexos de arquivos ZIP protegidos por palavra-passe, que continham o malware e um conjunto de instruções.
O ficheiro de arquivo incluía uma aplicação Mac disfarçada de solução "RUSI VPN" e uma unidade de partilha GUI (Graphical User Interface). Quando a aplicação maliciosa era lançada, executava um ficheiro de script da Apple que descarregava o NokNok.
Se a infecção for bem sucedida, o NokNok backdoor começa a descarregar os seus módulos. Um deles foi concebido para obter uma lista dos processos actualmente em execução. Outro adquire uma lista de aplicações instaladas. O módulo "Informations" recolhe dados relacionados com o sistema (por exemplo, versão do macOS, tempos de funcionamento, etc.), rede e aplicações instaladas. Outro módulo assegura a persistência do malware e pode ser utilizado para preparar o sistema para novas infecções.
Uma vez que o objectivo destas campanhas é a espionagem, o NokNok pode ser utilizado para infiltrar sofisticados ladrões de informação em dispositivos comprometidos. O malware para roubo de dados pode visar pormenores específicos ou uma vasta gama de informações. Os ladrões podem extrair dados de sistemas e aplicações instaladas.
Teoricamente, o malware backdoor pode infectar máquinas com praticamente qualquer tipo de programa malicioso (por exemplo, trojan, ransomware, etc.); no entanto, normalmente funciona dentro de certas limitações.
Deve ser mencionado que os criadores de malware melhoram frequentemente as suas criações e tácticas. Não é improvável que seja o caso do NokNok, especialmente considerando a natureza altamente direccionada destes ataques.
Em suma, o malware pode causar múltiplas infecções no sistema, perda de dados, graves problemas de privacidade, perdas financeiras e levar à usurpação de identidade. Os ataques efectuados contra entidades particularmente sensíveis podem ter consequências significativamente mais devastadoras.
Nome | malware NokNok |
Tipo de Ameaça | Malware para Mac, vírus para Mac, Backdoor |
Nomes de Detecção | Avast (Outro:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), Lista Completa (VirusTotal) |
Sintomas | O malware backdoor foi concebido para se infiltrar furtivamente no computador da vítima e permanecer silencioso, pelo que nenhum sintoma específico é claramente visível numa máquina infectada. |
Métodos de distribuição | Anexos de email infectados, anúncios online maliciosos, engenharia social, "cracks" de software. |
Danos | Palavras-passe e informações bancárias roubadas, roubo de identidade, perdas monetárias, infecções adicionais e muito mais. |
Remoção do Malware (Mac) | Para eliminar possíveis infecções por malware, verifique o seu Mac com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de malware backdoor
Investigámos milhares de amostras de malware; RShell, macOS.Macma, OceanLotus - são alguns exemplos de programas backdoor direccionados para o macOS, e ShadowVault, JokerSpy, Geacon, TrafficStealer - são apenas alguns dos nossos mais recentes artigos sobre malware específico para Mac.
O software malicioso pode ter uma grande variedade de capacidades, que podem estar em diferentes combinações. No entanto, independentemente da forma como o malware funciona, a sua presença num sistema põe em perigo a integridade do dispositivo e a privacidade do utilizador, bem como a sua segurança. Por isso, aconselhamos veementemente a eliminação de todas as ameaças imediatamente após a sua detecção.
Como é que o malware NokNok se infiltrou no meu computador?
Como mencionado anteriormente, as campanhas NokNok conhecidas tiveram origem em emails de spam malicioso (screenshots abaixo). O alvo eram pessoas e entidades associadas às esferas dos negócios estrangeiros e da segurança nuclear dos Estados Unidos. Os criminosos cibernéticos falsificaram as contas de emails de especialistas conhecidos, criando assim uma impressão de legitimidade para as cartas relacionadas com assuntos do Médio Oriente e segurança nuclear.
A primeira vaga de malware distribuída por email não era compatível com dispositivos Mac. Uma vez determinado esse fator, a vítima recebia uma carta diferente destinada a infiltrar o NokNok nos seus computadores.
Alguns dos emails também incluíam um link para um falso site FTP (File Transfer Protocol). Adicionalmente, eram fornecidas à vítima credenciais de login para o falso serviço de partilha de ficheiros. No entanto, uma vez introduzidas, as credenciais eram rejeitadas e a vítima podia receber mais instruções. É possível que o objectivo do site falso fosse recolher dados dos visitantes.
Os emails de spam tinham ficheiros ZIP protegidos por palavra-passe anexados. Neles, o destinatário encontrava instruções e os ficheiros que desencadeavam a primeira fase do malware NokNok. Estes últimos incluíam uma aplicação Mac apresentada como uma solução "RUSI VPN" e a GUI para uma unidade de partilha. Uma vez iniciada a aplicação, esta executava um ficheiro de script da Apple para descarregar o NokNok.
É pertinente mencionar que este malware pode ser usado para atingir outras esferas e ser distribuído usando diferentes iscos ou técnicas.
O phishing e a engenharia social são predominantes na proliferação de malware. Os métodos de distribuição mais utilizados incluem: anexos e hiperligações maliciosos em emails não solicitados (por exemplo, emails, PMs/DMs, SMSs, etc.), descarregamentos drive-by (furtivos/fraudulentos), fraudes online, malvertising, fontes de descarregamento não fidedignas (por exemplo, sites de alojamento de ficheiros gratuitos e freeware, redes de partilha P2P, etc.), ferramentas de activação de programas ilegais ("cracks") e actualizações falsas.
Além disso, alguns programas maliciosos podem auto-proliferar-se através de redes locais e dispositivos de armazenamento amovíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).
Como evitar a instalação de software malicioso?
Recomendamos veementemente que as mensagens de email e outras mensagens recebidas sejam abordadas com precaução. Os anexos ou hiperligações encontrados em emails suspeitos/irrelevantes não devem ser abertos, pois podem ser infecciosos.
Além disso, todas as transferências devem ser efectuadas a partir de canais oficiais e verificados. Também aconselhamos a activação e actualização de programas utilizando funções/ferramentas fornecidas por programadores genuínos, uma vez que as adquiridas de terceiros podem conter malware.
Outra recomendação é estar atento ao navegar, uma vez que os conteúdos falsos e maliciosos online parecem normalmente legítimos e inofensivos.
É importante sublinhar a importância de ter um antivírus de boa reputação instalado e actualizado. O software de segurança deve ser utilizado para efectuar verificações regulares do sistema e para remover ameaças e problemas detectados. Se o seu computador já estiver infectado, recomendamos a execução de uma verificação com Combo Cleaner para eliminar automaticamente todas as ameaças.
Screenshot de mensagens de email que proliferam o backdoor NokNok (fonte da imagem - Proofpoint);
Primeiro email:
Texto apresentado na presente carta:
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Segundo email:
Texto apresentado na presente carta:
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Remoção automática instantânea do malware Mac:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware Mac. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner para Mac
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o "NokNok"?
- PASSO 1. Remova os ficheiros e pastas relacionados com a API do OSX.
- PASSO 2. Remova as extensões fraudulentas do Safari.
- PASSO 3. Remova os add-ons fraudulentos do Google Chrome.
- PASSO 4. Remova os plug-ins potencialmente indesejados do Mozilla Firefox.
O vídeo demonstra como remover adware e sequestradores de navegador de um computador Mac:
Remoção de aplicações potencialmente indesejadas:
Remova as aplicações potencialmente indesejadas da pasta "Aplicações":
Clique no ícone do Finder. Na janela do Finder, seleccione "Aplicações". Na pasta das aplicações, procure "MPlayerX","NicePlayer", ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover a(s) aplicação(s) potencialmente indesejada(s) que causa(m) anúncios online, analise o seu Mac relativamente a qualquer componente indesejado restante.
Remova os ficheiros e pastas relacionados a malware noknok:
Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...
Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:
Na pasta Ir para...barra, tipo: /Library/LaunchAgents
Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.
Verifique para adware gerado por ficheiros na pasta /Library/Application Support:
Na pasta Ir para...barra, tipo: /Library/Application Support
Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.
Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:
Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents
Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.
Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:
Na pasta Ir para...barra, tipo: /Library/LaunchDaemons
Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.
Verifique o seu Mac com o Combo Cleaner:
Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".
O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.
Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.
Remoção do malware noknok dos navegadores de Internet:
Remova extensões fraudulentas do Safari:
Remova malware noknok as extensões relacionada ao Safari:
Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".
Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.
- Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.
Remova os plugins fraudulentos do Mozilla Firefox:
Remova malware noknok add-ons relacionados ao Mozilla Firefox:
Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".
Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.
Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.
Remova as extensões fraudulentas do Google Chrome:
Remova malware noknok add-ons relacionados ao Google Chrome:
Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".
Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.
Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.
Perguntas Frequentes (FAQ)
O meu computador está infetado com o malware NokNok, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Na maioria dos casos, a remoção de programas maliciosos não necessita de formatação.
Quais são os principais problemas que o malware NokNok pode causar?
As ameaças colocadas por uma infecção dependem das capacidades do malware e do modus operandi dos criminosos cibernéticos. O NokNok é um backdoor - um tipo de malware concebido para causar infecções em cadeia. Tem sido observado a ser utilizado por agentes de ameaças para ciberespionagem, com alvos que incluem indivíduos e entidades relacionadas com os sectores dos negócios estrangeiros e da segurança nuclear dos EUA. Há provas que sugerem que o grupo por trás destes ataques está a apoiar a Intelligence Organization do Islamic Revolutionary Guard Corps (IRGC).
Embora a maior parte das infecções por malware possa conduzir à perda de dados, a graves problemas de privacidade, a perdas financeiras e ao roubo de identidade, os ataques dirigidos a alvos altamente sensíveis acarretam perigos significativamente mais devastadores.
Qual é o objetivo do malware NokNok?
A maioria das infecções por malware é motivada por ganhos financeiros. No entanto, tal como indicado na resposta anterior, o NokNok tem sido utilizado em ataques com motivações políticas/geopolíticas.
Como é que o malware NokNok se infiltrou no meu computador?
O NokNok tem sido observado a ser distribuído através de emails de spam direccionados. No entanto, este malware pode ser distribuído usando outras tácticas ou iscos.
Geralmente, o software malicioso é proliferado através de emails/mensagens de spam, fraudes em linha, descarregamentos automáticos, publicidade maliciosa, canais de descarregamento questionáveis (por exemplo, sites não oficiais e gratuitos de alojamento de ficheiros, redes de partilha Peer-to-Peer, etc.), ferramentas ilegais de activação de software ("cracks"), actualizadores falsos, etc. Alguns programas maliciosos podem mesmo auto-propagar-se através de redes locais e dispositivos de armazenamento amovíveis.
O Combo Cleaner protege-me de malware?
Sim, o Combo Cleaner é capaz de detectar e eliminar a maioria das infecções de malware conhecidas. Deve ser realçado que é essencial efetuar uma verificação completa do sistema - uma vez que o software malicioso sofisticado tende a ocultar-se profundamente nos sistemas.
▼ Mostrar comentários