Istruzioni per la rimozione del malware backdoor NokNok
Scitto da Tomas Meskauskas il
Che tipo di malware è NokNok?
NokNok è il nome di un malware di tipo backdoor che prende di mira macOS (sistemi operativi Mac). I programmi all'interno di questa classificazione sono progettati per aprire una "backdoor" per ulteriori componenti dannosi nei sistemi compromessi.
NokNok è stato utilizzato in attacchi di spionaggio informatico contro individui ed entità associate agli affari esteri statunitensi e alla sicurezza nucleare. Questi attacchi sono stati preparati sia per utenti Windows che Mac; quest'ultimo mirava a infettare i propri dispositivi con il malware NokNok.
Ci sono prove che collegano queste campagne con attori della minaccia che sostengono il Corpo delle guardie rivoluzionarie islamiche (IRGC), in particolare l'Organizzazione di intelligence dell'IRGC.
Panoramica del malware NokNok
Le campagne di diffusione di NokNok osservate sono iniziate con allegati dannosi nelle e-mail di spam. La posta ingannevole includeva lettere apparentemente innocue tematicamente rilevanti per le vittime designate. Queste e-mail includevano allegati di archivio ZIP protetti da password, che contenevano il malware e una serie di istruzioni.
Il file di archivio includeva un'app per Mac camuffata da soluzione "RUSI VPN" e condivideva la GUI (Graphical User Interface) dell'unità. Quando l'applicazione dannosa è stata avviata, ha eseguito un file script Apple che ha scaricato NokNok.
Se l'infezione ha successo, la backdoor di NokNok inizia a scaricare i suoi moduli. Uno di questi è progettato per ottenere un elenco di processi attualmente in esecuzione. Un altro acquisisce un elenco di applicazioni installate. Il modulo "Informazioni" raccoglie i dati relativi al sistema (es. versione di macOS, orari di funzionamento, ecc.), alla rete e alle app installate. Ancora un altro modulo garantisce la persistenza del malware e può essere utilizzato per preparare il sistema a ulteriori infezioni.
Poiché l'obiettivo di queste campagne è lo spionaggio, NokNok potrebbe essere utilizzato per infiltrare sofisticati ladri di informazioni in dispositivi compromessi. Il malware che ruba dati può prendere di mira dettagli specifici o un'ampia gamma di informazioni. I ladri possono estrarre dati dai sistemi e dalle applicazioni installate.
Teoricamente, il malware backdoor può infettare le macchine con qualsiasi tipo di programma dannoso (ad esempio trojan, ransomware, ecc.); tuttavia, in genere opera entro determinate limitazioni.
Va detto che gli sviluppatori di malware spesso migliorano le loro creazioni e tattiche. Non è improbabile che sia il caso di NokNok, soprattutto considerando la natura altamente mirata di questi attacchi.
Per riassumere, il malware può causare più infezioni del sistema, perdita di dati, gravi problemi di privacy, perdite finanziarie e portare al furto di identità. Gli attacchi sfruttati contro entità particolarmente sensibili possono avere conseguenze significativamente più devastanti.
| Nome | NokNok malware |
| Tipologia di minaccia | Mac malware, Mac virus, Backdoor |
| Nomi rilevati | Avast (Altro:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), Lista completa (VirusTotal) |
| Sintomi | Il malware backdoor è progettato per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crack" del software. |
| Danni | Password rubate e informazioni bancarie, furto di identità, perdite monetarie, ulteriori infezioni e altro ancora. |
| Rimozione dei malware (Mac) | Per eliminare possibili infezioni malware, scansiona il tuo Mac con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di malware backdoor
Abbiamo esaminato migliaia di campioni di malware; RShell, macOS.Macma, OceanLotus – sono alcuni esempi di programmi backdoor destinati a macOS, e ShadowVault, JokerSpy, Geacon, TrafficStealer – sono solo alcuni dei nostri articoli più recenti sul malware specifico per Mac.
Il software dannoso può avere un'ampia varietà di funzionalità, che possono essere in diverse combinazioni. Tuttavia, indipendentemente dal modo in cui opera il malware, la sua presenza su un sistema mette in pericolo l'integrità del dispositivo, la privacy dell'utente e la sicurezza. Pertanto, consigliamo vivamente di eliminare tutte le minacce immediatamente dopo il rilevamento.
In che modo il malware NokNok si è infiltrato nel mio computer?
Come accennato in precedenza, le note campagne NokNok hanno avuto origine da posta indesiderata dannosa (schermate sotto). Ha preso di mira persone ed entità associate alle sfere degli affari esteri e della sicurezza nucleare degli Stati Uniti. I criminali informatici hanno falsificato gli account di posta elettronica di noti esperti, creando così un'impressione di legittimità per le lettere relative agli affari mediorientali e alla sicurezza nucleare.
La raffica iniziale di malware diffuso via e-mail non era compatibile con i dispositivi Mac. Una volta determinato quel fattore, alla vittima è stata inviata una lettera diversa destinata a infiltrare NokNok nelle loro macchine.
Alcune delle email includevano anche un collegamento a un falso sito Web FTP (File Transfer Protocol). Inoltre, alla vittima sono state fornite le credenziali di accesso per il falso servizio di condivisione file. Tuttavia, una volta inserite, le credenziali venivano rifiutate e alla vittima potevano essere fornite ulteriori istruzioni. È possibile che lo scopo del sito falso fosse quello di raccogliere dati sui visitatori.
Alle email spam erano allegati file ZIP protetti da password. In esso il destinatario ha trovato le istruzioni ei file che attivano la prima fase del malware NokNok. Quest'ultimo includeva un'applicazione Mac presentata come una soluzione "RUSI VPN" e la GUI per un'unità condivisa. Una volta avviata l'app, ha eseguito un file di script Apple per scaricare NokNok.
È pertinente menzionare che questo malware potrebbe essere utilizzato per prendere di mira altre sfere ed essere distribuito utilizzando esche o tecniche diverse.
Il Phishing e l'ingegneria sociale sono prevalenti nella diffusione del malware. I metodi di distribuzione più utilizzati includono: allegati e collegamenti dannosi nella posta indesiderata (ad es. e-mail, PM/DM, SMS, ecc.), download drive-by (furtivi/ingannevoli), truffe online, malvertising, fonti di download non affidabili (ad es. , siti Web di hosting di file gratuiti e freeware, reti di condivisione P2P, ecc.), strumenti di attivazione di programmi illegali ("crack") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono autoproliferarsi tramite reti locali e dispositivi di archiviazione rimovibili (ad es. Dischi rigidi esterni, unità flash USB, ecc.).
Come evitare l'installazione di malware?
Consigliamo vivamente di affrontare le email in arrivo e altri messaggi con cautela. Gli allegati o i collegamenti trovati nella posta sospetta/irrilevante non devono essere aperti, in quanto possono essere infettivi.
Inoltre, tutti i download devono essere eseguiti da canali ufficiali e verificati. Consigliamo inoltre di attivare e aggiornare i programmi utilizzando funzioni/strumenti forniti da veri sviluppatori, in quanto quelli acquisiti da terze parti possono contenere malware.
Un'altra raccomandazione è di essere vigili durante la navigazione poiché i contenuti online falsi e dannosi di solito appaiono legittimi e innocui.
Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e mantenuto aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere minacce e problemi rilevati. Se il tuo computer è già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente tutte le minacce.
Screenshot delle email che diffondono la backdoor NokNok (fonte immagine – Proofpoint);
Prima email:
Testo presentato in queta email:
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Seconda email:
Testo presentato in queta email:
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Rimozione automatica istantanea dei malware dal tuo Mac:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware dai Mac. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner per Mac
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è "NokNok"?
- STEP 1. Rimuovi i file e le cartelle relativi a delle PUA da OSX.
- STEP 2. Rimuovi le estensioni non autorizzate da Safari.
- STEP 3. Rimuovi i componenti aggiuntivi canaglia da Google Chrome.
- STEP 4. Rimuovere i plug-in potenzialmente indesiderati da Mozilla Firefox.
Video che mostra come rimuovere adware e browser hijacker da un computer Mac:
Rimozione di applicazioni potenzialmente indesiderate:
Rimuovi le applicazioni potenzialmente indesiderate dalla cartella "Applicazioni":
Fare clic sull'icona del Finder. Nella finestra del Finder, seleziona "Applicazioni". Nella cartella delle applicazioni, cerca "MPlayerX","NicePlayer" o altre applicazioni sospette e trascinale nel Cestino. Dopo aver rimosso le applicazioni potenzialmente indesiderate che causano annunci online, scansiona il tuo Mac alla ricerca di eventuali componenti indesiderati rimanenti.
Rimuovere i file e le cartelle legate a noknok malware:
Cliccare l'icona del Finder, dal menu a barre, scegliere Vai, e cliccare Vai alla Cartella...
Verificare la presenza di file generati da adware nella cartella / Library / LaunchAgents:
Nella barra Vai alla Cartella..., digita: /Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/Application Support:
Nella barra Vai alla Cartella..., digita: /Library/Application Support
Nella cartella “Application Support”, lcercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “MplayerX” o “NicePlayer”,
Verificare la presenza di file generati da adware nella cartella ~/Library/LaunchAgents:
Nella barra Vai alla Cartella..., digita: ~/Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/LaunchDaemons:
Nella barra Vai alla Cartella..., digita: /Library/LaunchDaemons
Nella cartella “LaunchDaemons”, cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc..
Scansiona il tuo Mac con Combo Cleaner:
Se hai seguito tutti i passaggi nell'ordine corretto, il Mac dovrebbe essere privo di infezioni. Per essere sicuro che il tuo sistema non sia infetto, esegui una scansione con Combo Cleaner Antivirus. Scaricalo QUI. Dopo aver scaricato il file fare doppio clic sul programma di installazione combocleaner.dmg, nella finestra aperta trascinare e rilasciare l'icona Combo Cleaner in cima all'icona Applicazioni. Ora apri il launchpad e fai clic sull'icona Combo Cleaner. Attendere fino a quando Combo Cleaner aggiorna il suo database delle definizioni dei virus e fare clic sul pulsante "Avvia scansione combinata".
Combo Cleaner eseguirà la scansione del tuo Mac alla ricerca di infezioni da malware. Se la scansione antivirus mostra "nessuna minaccia trovata", significa che è possibile continuare con la guida alla rimozione, altrimenti si consiglia di rimuovere eventuali infezioni trovate prima di continuare.
Dopo aver rimosso i file e le cartelle generati dal adware, continuare a rimuovere le estensioni canaglia dal vostro browser Internet.
NokNok malware rimozione da homepage e motore di ricerca degli Internet browsers:
Rimuovere le estensioni malevole da Safari:
Rimuovere le estensioni di noknok malware da Safari:
Aprire Safari, Dalla barra del menu, selezionare "Safari" e clicare su "Preferenze...".
Nella finestra delle preferenze, selezionare "Estensioni" e cercare eventuali estensioni sospette recentemente installate. Quando le trovate, fare clic sul pulsante "Disinstalla". Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Safari - nessuna è fondamentale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Safari.
Rimuovere le estensioni malevole da Mozilla Firefox:
Rimuovere i componenti aggiuntivi legati a noknok malware da Mozilla Firefox:
Aprire il browser Mozilla Firefox. In alto a destra dello schermo, fare clic sul pulsante (tre linee orizzontali) "Apri Menu". Dal menu aperto, scegliere "componenti aggiuntivi".
Scegliere la scheda "Estensioni" e cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando vengono trovati, fare clic sul pulsante "Rimuovi" che si trova accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Mozilla Firefox - nessuna è cruciale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Mozilla Firefox.
Rimuovere estensioni pericolose da Google Chrome:
Rimuovere le estensioni di noknok malware da Google Chrome:
Aprire Google Chrome e fare clic sul pulsante (tre linee orizzontali) "Menu Chrome" che si trova nell'angolo in alto a destra della finestra del browser. Dal menu a discesa, scegliere "Altri strumenti" e selezionare "Estensioni".
Nella finestra "Estensioni", cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando li trovate, fate clic sul pulsante "Cestino" accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Google Chrome - non ce ne sono di fondamentali per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Google Chrome.
Domande Frequenti (FAQ)
Il mio computer è stato infettato dal malware NokNok, devo formattare il mio dispositivo di archiviazione per eliminarlo?
Nella maggior parte dei casi, la rimozione di programmi dannosi non richiede la formattazione.
Quali sono i maggiori problemi che il malware NokNok può causare?
Le minacce poste da un'infezione dipendono dalle capacità del malware e dal modus operandi dei criminali informatici. NokNok è una backdoor, un tipo di malware progettato per causare infezioni a catena. È stato osservato che viene utilizzato da autori di minacce per spionaggio informatico, con obiettivi che includono individui ed entità legate ai settori degli affari esteri e della sicurezza nucleare degli Stati Uniti. Ci sono prove che suggeriscono che il gruppo dietro questi attacchi stia sostenendo l'Organizzazione di intelligence del Corpo delle guardie rivoluzionarie islamiche (IRGC).
Mentre la maggior parte delle infezioni da malware può portare alla perdita di dati, gravi problemi di privacy, perdite finanziarie e furto di identità, gli attacchi contro obiettivi altamente sensibili comportano pericoli molto più devastanti.
Qual è lo scopo del malware NokNok?
La maggior parte delle infezioni da malware sono motivate da guadagni finanziari. Tuttavia, come indicato dalla risposta precedente, NokNok è stato utilizzato in attacchi a sfondo politico/geopolitico.
In che modo il malware NokNok si è infiltrato nel mio computer?
È stato osservato che NokNok viene diffuso tramite posta indesiderata mirata. Tuttavia, questo malware potrebbe essere distribuito utilizzando altre esche o tattiche.
In generale, il software dannoso viene diffuso tramite email/messaggi di spam, truffe online, download drive-by, malvertising, canali di download dubbi (ad es. siti Web di hosting di file non ufficiali e gratuiti, reti di condivisione peer-to-peer, ecc.), software illegale strumenti di attivazione ("crack"), falsi programmi di aggiornamento e così via. Alcuni programmi dannosi possono persino diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare le infezioni da malware conosciute. Va sottolineato che l'esecuzione di una scansione completa del sistema è essenziale, poiché il software dannoso sofisticato tende a nascondersi in profondità all'interno dei sistemi.
Eccezionale!
▼ Mostra Discussione