Verwijderingsinstructies voor NokNok backdoor malware
Geschreven door Tomas Meskauskas op
Wat voor soort malware is NokNok?
NokNok is de naam van een backdoor-type malware die gericht is op macOS (Mac besturingssystemen). Programma's binnen deze classificatie zijn ontworpen om een "achterdeur" te openen voor aanvullende schadelijke componenten in aangetaste systemen.
NokNok is gebruikt in cyberspionage-aanvallen gericht op personen en entiteiten die te maken hebben met buitenlandse zaken en nucleaire veiligheid in de VS. Deze aanvallen waren gericht op zowel Windows- als Mac-gebruikers; de laatste hadden als doel hun apparaten te infecteren met NokNok-malware.
Er is bewijs dat deze campagnes in verband brengt met dreigingsactoren die de Islamitische Revolutionaire Garde (IRGC) ondersteunen, met name de IRGC Inlichtingenorganisatie.
NokNok malware overzicht
De waargenomen campagnes van NokNok begonnen met schadelijke bijlagen in spam e-mails. De bedrieglijke e-mails bevatten schijnbaar onschuldige brieven die thematisch relevant waren voor de beoogde slachtoffers. Deze e-mails bevatten met een wachtwoord beveiligde ZIP-archiefbijlagen, die de malware en een reeks instructies bevatten.
Het archiefbestand bevatte een Mac-toepassing die vermomd was als een "RUSI VPN"-oplossing en een GUI (Graphical User Interface) voor een gedeeld station. Wanneer de schadelijke toepassing werd gestart, voerde het een Apple scriptbestand uit dat NokNok downloadde.
Als de infectie succesvol is, begint de NokNok-backdoor met het downloaden van modules. Eén daarvan is ontworpen om een lijst van momenteel lopende processen te verkrijgen. Een andere verkrijgt een lijst van geïnstalleerde toepassingen. De module "Informations" verzamelt gegevens over het systeem (bijv. macOS-versie, gebruikstijden, enz.), het netwerk en geïnstalleerde toepassingen. Een andere module zorgt ervoor dat de malware blijft bestaan en kan worden gebruikt om het systeem voor te bereiden op verdere infectie.
Aangezien het doel van deze campagnes spionage is, kan NokNok worden gebruikt om geavanceerde informatiedieven te infiltreren in aangetaste apparaten. Malware voor het stelen van gegevens kan zich richten op specifieke details of een breed scala aan informatie. Stealers kunnen gegevens uit systemen en geïnstalleerde toepassingen halen.
Theoretisch kan backdoor-malware machines infecteren met vrijwel elk type kwaadaardig programma (bijv. trojan, ransomware, enz.); het werkt echter meestal binnen bepaalde beperkingen.
Er moet worden vermeld dat malwareontwikkelaars hun creaties en tactieken vaak verbeteren. Het is niet onwaarschijnlijk dat dit het geval is met NokNok, vooral gezien de zeer gerichte aard van deze aanvallen.
Samenvattend kan malware meerdere systeeminfecties, gegevensverlies, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal veroorzaken. Aanvallen op bijzonder gevoelige entiteiten kunnen nog veel verwoestender gevolgen hebben.
| Naam | NokNok malware |
| Type bedreiging | Mac malware, Mac virus, Backdoor |
| Detectienamen | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), volledige lijst (VirusTotal) |
| Symptomen | Backdoor-malware is ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, geldverlies, bijkomende infecties en nog veel meer. |
| Malware verwijderen (Mac) | Om mogelijke malware-infecties te verwijderen, scant u uw Mac met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Backdoor malware voorbeelden
We hebben duizenden malware-voorbeelden onderzocht; RShell, macOS.Macma, OceanLotus - zijn enkele voorbeelden van backdoor-programma's die gericht zijn op macOS, en ShadowVault, JokerSpy, Geacon, TrafficStealer - zijn slechts enkele van onze nieuwste artikelen over Mac-specifieke malware.
Kwaadaardige software kan een grote verscheidenheid aan mogelijkheden hebben, die in verschillende combinaties kunnen voorkomen. Het maakt echter niet uit hoe malware werkt - de aanwezigheid ervan op een systeem brengt de integriteit van het apparaat en de privacy en veiligheid van de gebruiker in gevaar. Daarom raden we aan om alle bedreigingen onmiddellijk na ontdekking te verwijderen.
Hoe is NokNok-malware mijn computer binnengedrongen?
Zoals eerder vermeld, waren de bekende campagnes van NokNok afkomstig van kwaadaardige spammail (screenshots hieronder). Ze waren gericht op personen en entiteiten die te maken hebben met buitenlandse zaken en nucleaire veiligheid in de Verenigde Staten. De cybercriminelen vervalsten de e-mailaccounts van bekende experts en wekten zo de indruk dat de brieven over zaken in het Midden-Oosten en nucleaire veiligheid legitiem waren.
De malware die in eerste instantie via e-mail werd verspreid, was niet compatibel met Mac-apparaten. Zodra die factor was vastgesteld, kreeg het slachtoffer een andere brief toegestuurd die bedoeld was om NokNok in hun machines te infiltreren.
Sommige e-mails bevatten ook een link naar een valse FTP-website (File Transfer Protocol). Daarnaast kreeg het slachtoffer inloggegevens voor de nepdienst voor het delen van bestanden. Na het invoeren werden de gegevens echter geweigerd en kon het slachtoffer verdere instructies krijgen. Het is mogelijk dat het doel van de valse site het verzamelen van bezoekersgegevens was.
Bij de spammails waren ZIP-bestanden gevoegd die met een wachtwoord waren beveiligd. Daarin vond de ontvanger instructies en de bestanden die het eerste stadium van de NokNok-malware activeerden. Dit laatste omvatte een Mac-toepassing die werd gepresenteerd als een "RUSI VPN"-oplossing en de GUI voor een gedeelde schijf. Zodra de app werd gestart, voerde het een Apple scriptbestand uit om NokNok te downloaden.
Het is relevant om te vermelden dat deze malware kan worden gebruikt om andere gebieden aan te vallen en kan worden verspreid met behulp van verschillende lokmiddelen of technieken.
Phishing en social engineering komen vaak voor bij de verspreiding van malware. De meest gebruikte verspreidingsmethoden zijn: schadelijke bijlagen en koppelingen in spammail (bijv. e-mails, PM's/DM's, sms'jes, enz.), drive-by (stiekeme/bedrieglijke) downloads, online scams, malvertising, onbetrouwbare downloadbronnen (bijv. freeware en gratis websites voor het hosten van bestanden, P2P-netwerken voor het delen van bestanden, enz.
Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Hoe vermijdt u de installatie van malware?
We raden ten zeerste aan om inkomende e-mails en andere berichten met de nodige voorzichtigheid te benaderen. Bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.
Bovendien moeten alle downloads worden uitgevoerd via officiële en geverifieerde kanalen. We raden ook aan om programma's te activeren en bij te werken met functies/tools van echte ontwikkelaars, omdat die van derden malware kunnen bevatten.
Een andere aanbeveling is om waakzaam te zijn tijdens het browsen, aangezien valse en schadelijke online inhoud meestal legitiem en onschadelijk lijkt.
We moeten benadrukken hoe belangrijk het is om een goede antivirus te installeren en up-to-date te houden. Met beveiligingssoftware moeten regelmatig systeemscans worden uitgevoerd en gedetecteerde bedreigingen en problemen worden verwijderd. Als uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om automatisch alle bedreigingen te verwijderen.
Screenshot van e-mails die de NokNok backdoor verspreiden (beeldbron - Proofpoint);
Eerste e-mail:
Tekst in deze mail:
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Tweede e-mail:
Tekst gepresenteerd in deze mail:
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Onmiddellijke automatische Mac malware verwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om Mac malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner voor Mac
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is "NokNok"?
- STAP 1. Verwijder PUA-gerelateerde bestanden en mappen van OSX.
- STAP 2. Verwijder bedrieglijke extensies uit Safari.
- STAP 3. Verwijder malafide add-ons uit Google Chrome.
- STAP 4. Verwijder mogelijk ongewenste plug-ins uit Mozilla Firefox.
Video die laat zien hoe u adware en browser hijackers verwijdert van een Mac computer:
Mogelijk ongewenste programma's verwijderen:
Verwijder mogelijk ongewenste toepassingen uit uw map "Toepassingen":
Klik op het Finder-pictogram. Selecteer in het Finder-venster "Toepassingen". Zoek in de map Toepassingen naar "MPlayerX","NicePlayer" of andere verdachte toepassingen en sleep deze naar de Prullenbak. Nadat u de mogelijk ongewenste toepassing(en) die online advertenties veroorzaken hebt verwijderd, scant u uw Mac op resterende ongewenste onderdelen.
Verwijder aan de noknok malware gerelateerde bestanden en mappen:
Klik op het Finder icoon, vanuit de menubalk kies je Ga en klik je op Ga naar map...
Controleer of er zich door de adware aangemaakte bestanden bevinden in de map /Library/LaunchAgents folder:
In de Ga naar map...-balk typ je: /Library/LaunchAgents
In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak bestanden met hetzelfde bestandsnaampatroon.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/Application Support:
In de Ga naar map...-balk typ je: /Library/Application Support
In de map “Application Support” zoek je naar recent toegevoegde verdachte mappen. Bijvoorbeeld “MplayerX” or “NicePlayer”, en je verplaatst deze mappen naar de prullenbak.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map ~/Library/LaunchAgents:
In de Ga naar map...-balk typ je: ~/Library/LaunchAgents
In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak verschillende bestanden met hetzelfde bestandsnaampatroon.
Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/LaunchDaemons:
In de Ga naar map...-balk typ je: /Library/LaunchDaemons
In de map “LaunchDaemons” zoek je naar recent toegevoegde verdachte bestanden. Voorbeelden zijn: “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., en je verplaatst deze naar de prullenbak.
Scan uw Mac met Combo Cleaner:
Als u alle stappen in de juiste volgorde hebt gevolgd dan zou uw Mac nu helemaal virus- en malwarevrij moeten zijn. Om zeker te weten of uw systeem niet langer besmet is voert u best een scan uit met Combo Cleaner Antivirus. Download dit programma HIER. Na het downloaden van het bestand moet u dubbelklikken op het combocleaner.dmg installatiebestand, in het geopende venster sleept u het Combo Cleaner-icoon naar het Applicaties-icoon. Nu opent u launchpad en klikt u op het Combo Cleaner-icoon. Wacht tot Combo Cleaner de virusdefinities heeft bijgewerkt en klik vervolgens op de knop 'Start Combo Scan'.
Combo Cleaner zal uw Mac scannen op malwarebesmettingen. Als de scan meldt 'geen bedreigingen gevonden' - dan betekent dit dat u verder de verwijderingsgids kunt volgen. In het andere geval is het aanbevolen alle gevonden besmettingen te verwijderen voor u verder gaat.
Na het verwijderen van bestanden en mappen die werden aangemaakt door deze adware ga je verder met het verwijderen van frauduleuze extensies uit je internetbrowsers.
NokNok malware verwijderen uit de internetbrowsers:
Kwaadaardige extensies verwijderen uit Safari:
Verwijder aan noknok malware gerelateerde Safari extensies:
Open de Safari-browser, vanuit de menubalk selecteer je "Safari" en klik je op "Voorkeuren...".
In het scherm met de voorkeuren selecteer je "Extensies" en zoek je naar recent geïnstalleerde verdachte extensies. Als je die gevonden hebt klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies kunt verwijderen uit de Safari-browser, ze zijn niet noodzakelijk voor een goede werking van de browser.
- Als je problemen blijft hebben met browser doorverwijzingen en ongewenste advertenties lees je hier hoe Safari te resetten.
Kwaadaardige plug-ins verwijderen uit Mozilla Firefox:
Verwijder aan noknok malware gerelateerde Mozilla Firefox add-ons:
Open je Mozilla Firefox-browser. In de rechterbovenhoek van het scherm klik je op de "Menu openen"-knop (met de drie horizontale lijnen). Uit het geopende menu selecteer je "Add-ons".
Kies het tabblad "Extensies" en zoek naar recent geïnstalleerde verdachte add-ons. Eens gevonden klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies uit je Mozilla Firefox-browser kunt verwijderen - ze zijn niet noodzakelijk voor de goede werking van de browser.
- Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Mozilla Firefox resetten.
Kwaadaardige extensies verwijderen uit Google Chrome:
Verwijder aan noknok malware gerelateerde Google Chrome add-ons:
Open Google Chrome en klik op de "Chrome menu"-knop (drie horizontale lijnen) gesitueerd in de rechterbovenhoek van het browserscherm. In het uitklapmenu selecteer je "Meer tools" en vervolgens "Extensies".
In het scherm "Extensies" zoek je naar recent geïnstalleerde verdachte add-ons. Als je die gevonden hebt klik je op de "Prullenbak"-knop er net naast. Merk op dat je veilig alle extensies uit je Google Chrome-browser kunt verwijderen. Ze zijn niet noodzakelijk voor een goede werking van de browser.
- Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Google Chrome resetten.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met NokNok malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
In de meeste gevallen is het voor het verwijderen van schadelijke programma's niet nodig om te formatteren.
Wat zijn de grootste problemen die NokNok malware kan veroorzaken?
De bedreigingen van een infectie zijn afhankelijk van de mogelijkheden van de malware en de modus operandi van de cybercriminelen. NokNok is een backdoor - een type malware dat is ontworpen om keteninfecties te veroorzaken. Er is waargenomen dat deze malware door dreigingsactoren wordt gebruikt voor cyberspionage, met als doelwitten personen en entiteiten die te maken hebben met buitenlandse zaken en nucleaire veiligheid in de VS. Er zijn aanwijzingen dat de groep achter deze aanvallen de inlichtingenorganisatie van de Islamitische Revolutionaire Garde (IRGC) ondersteunt.
Hoewel de meeste malware-infecties kunnen leiden tot gegevensverlies, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal, brengen aanvallen op zeer gevoelige doelen aanzienlijk meer verwoestende gevaren met zich mee.
Wat is het doel van NokNok-malware?
De meeste malware-infecties worden gemotiveerd door financieel gewin. Zoals aangegeven in het vorige antwoord, is NokNok echter gebruikt in politiek/geopolitiek gemotiveerde aanvallen.
Hoe is NokNok malware mijn computer binnengedrongen?
Er is waargenomen dat NokNok werd verspreid via gerichte spammail. Deze malware kan echter ook worden verspreid via andere lokmiddelen of tactieken.
Over het algemeen wordt kwaadaardige software verspreid via spam e-mails/berichten, online oplichting, drive-by downloads, malvertising, dubieuze downloadkanalen (bijv. onofficiële en gratis file-hosting websites, Peer-to-Peer sharing netwerken, etc.), illegale software activatie tools ("cracks"), nep updaters, enzovoort. Sommige kwaadaardige programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Het moet worden benadrukt dat het uitvoeren van een volledige systeemscan essentieel is - aangezien geavanceerde kwaadaardige software de neiging heeft om zich diep in systemen te verbergen.
Uitmuntend!
▼ Toon discussie