Entfernungsanleitung für NokNok backdoor Malware
Verfasst von Tomas Meskauskas am
Welche Art von Malware ist NokNok?
NokNok ist der Name einer Backdoor-artigen Malware, die auf macOS (Mac-Betriebssysteme) abzielt. Programme innerhalb dieser Klassifizierung werden entwickelt, um in kompromittierten Systemen eine "Hintertür" für zusätzliche bösartige Komponenten zu öffnen.
NokNok wurde bei Cyberspionage-Angriffen auf Einzelersonen und Einrichtungen eingesetzt, die mit den Bereichen Außenpolitik und nukleare Sicherheit der USA in Verbindung stehen. Diese Angriffe richteten sich sowohl an Windows- als auch an Mac-Benutzer; letztere zielten darauf ab, ihre Geräte mit NokNok-Malware zu infizieren.
Es gibt Hinweise darauf, dass diese Kampagnen mit Bedrohungsakteuren in Verbindung stehen, die das Islamic Revolutionary Guard Corps (IRGC), und insbesondere die IRGC Intelligence Organization unterstützen.
Übersicht über die Malware NokNok
Die beobachteten NokNok-Verbreitungskampagnen begannen mit bösartigen Anhängen in Spam-E-Mails. Die irreführende E-Mail enthielt scheinbar harmlose, thematisch für beabsichtigten Opfer relevante Briefe. Diese E-Mails enthielten passwortgeschützte ZIP-Archivanhänge, die die Malware und eine Reihe von Anweisungen enthielten.
Die Archivdatei enthielt eine als "RUSI VPN"-Lösung getarnte Mac-Anwendung und ein Share Drive (GUI (Graphical User Interface). Wenn die bösartige Anwendung gestartet wurde, führte sie eine Apple-Script-Datei aus, die NokNok heruntergeladen hat.
Falls die Infektion erfolgreich ist, beginnt die Backdoor von NokNok damit, ihre Module herunterzuladen. Eines von ihnen wurde entwickelt, um an eine Liste der derzeit laufenden Prozesse zu gelangen. Ein weiteres Modul verschafft sich eine Liste der installierten Anwendungen. Das "Informations"-Modul sammelt Daten über das System (z. B. macOS-Version, Betriebszeiten usw.), das Netzwerk und die installierten Anwendungen. Noch ein weiteres Modul stellt das Fortbestehen der Malware sicher und kann dafür verwendet werden, das System für eine weitere Infektion vorzubereiten.
Da das Ziel dieser Kampagnen die Spionage ist, könnte NokNok verwendet werden, um ausgereifte Informationsstealer in kompromittierte Geräte einzuschleusen. Datenstehlende Malware kann auf bestimmte Details oder eine Vielzahl von Informationen abzielen. Stealer können Daten aus Systemen und installierten Anwendungen extrahieren.
Theoretisch kann Backdoor-Malware infizierten mit so ziemlich jeder Art von bösartigen Programmen infizieren (z.B. Trojaner, Ransomware usw.); sie agiert jedoch normalerweise innerhalb bestimmter Beschränkungen.
Es muss erwähnt werden, dass Malware-Entwickler ihre Kreationen und Taktiken häufig verbessern. Es ist nicht unwahrscheinlich, dass dies auch bei NokNok der Fall ist, insbesondere wenn man bedenkt, dass die Natur dieser Angriffe sehr zielgerichtet ist.
Zusammenfassend lässt sich sagen, dass Malware mehrere Systeminfektionen, Datenverlust, schwerwiegende Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl verursachen kann. Angriffe, die sich gegen besonders empfindliche Entitäten richten, können noch weitaus verheerendere Konsequenzen nach sich ziehen.
| Name | NokNok Malware |
| Art der Bedrohung | Mac-Malware, Mac-Virus, Backdoor |
| Erkennungsnamen | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), vollständige Liste (VirusTotal) |
| Symptome | Backdoor-Malware wird entwickelt, um den Computer des Opfers heimlich zu infiltrieren und ruhig zu bleiben und daher sind auf einer infizierten Maschine keine bestimmten Symptome klar erkennbar. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Anzeigen, Social Engineering, Software-"Cracks". |
| Schaden | Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, finanzielle Verluste, zusätzliche Infektionen und mehr. |
| Malware-Entfernung (Mac) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Backdoor-Malware
Wir haben Tausende Malware-Proben untersucht; RShell, macOS.Macma, OceanLotus – sind lediglich einige Beispiele für Backdoor-Programme, die macOS anvisieren und ShadowVault, JokerSpy, Geacon, TrafficStealer – sind lediglich einige unserer neuesten Artikel über Mac-spezifische Malware.
Bösartige Software kann eine Vielzahl von Fähigkeiten haben, die in verschiedenen Kombinationen vorliegen können. Unabhängig davon, wie Malware agiert – gefährdet ihre Präsenz auf einem System jedoch die Integrität von Geräten, die Privatsphäre von Benutzern sowie die Sicherheit. Daher raten wir dringend dazu, alle Bedrohungen sofort Erkennung zu beseitigen.
Wie hat die Malware NokNok meinen Computer infiltriert?
Wie bereits erwähnt, haben die bekannten NokNok-Kampagnen ihren Ursprung in bösartigen Spam-Mails (siehe Screenshots unten). Sie zielten auf Personen und Entitäten ab, die mit der Außenpolitik und der nuklearen Sicherheit der Vereinigten Staaten in Verbindung stehen. Die Cyberkriminellen spooften die E-Mail-Konten bekannter Experten und erweckten so einen Eindruck von Seriosität für die Briefe, die sich auf Angelegenheiten des Nahen Ostens und der nuklearen Sicherheit bezogen.
Die ursprüngliche Flut von per E-Mail verbreiteter Malware war nicht mit Mac-Geräten kompatibel. Sobald dieser Faktor festgestellt wurde, wurde den Opfern ein anderer Brief mit der Absicht zugesendet, NokNok in ihre Rechner einschleusen.
Einige der E-Mails enthielten auch einen Link zu einer gefälschten FTP-Webseite (File Transfer Protocol). Außerdem wurden dem Opfer Anmeldedaten für den gefälschten File-Sharing-Dienst bereitgestellt. Nach Eingabe wurden die Anmeldedaten jedoch zurückgewiesen und dem Opfer wurden möglicherweise weitere Anweisungen zur Verfügung gestellt. Es ist möglich, dass der Zweck der gefälschten Webseite darin bestand, Besucherdaten zu sammeln.
Den Spam-E-Mails wurden passwortgeschützte ZIP-Dateien angehängt. In ihnen konnte der Empfänger Anleitungen und die Dateien, die die erste Stufe der NokNok-Malware auslösen, finden. Letztere enthielten eine Mac-Anwendung, die als "RUSI VPN"-Lösung präsentiert wurde, sowie das GUI für ein Share-Drive. Sobald die Anwendung gestartet wurde, führte sie eine Apple-Script-Datei aus, um NokNok herunterzuladen.
Es ist wichtig zu erwähnen, dass diese Malware auch in anderen Sphären eingesetzt und über verschiedene Köder oder Techniken verbreitet werden könnte.
Phishing und Social Engineering sind bei der Vebreitung von Malware weit verbreitet. Die am häufigsten verwendeten Verbreitungsmethoden beinhalten: Bösarige Anhänge und Links in Spam-E-Mails (z.B. E-Mails, PMs/DMs, SMS usw.), Drive-by- (heimliche/irreführende) -Downloads, Online-Betrugsmaschen, Malvertising, nicht vertrauenswürdige Downloadquellen (z.B. Freeware- und kostenlose File-Hosting-Webseiten, P2P-Sharing-Netzwerke usw.), illegale Programmaktivierungswerkzeuge (“Cracks“) und gefälschte Updates.
Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z.B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Wir empfehlen dringend, eingehenden E-Mails und anderen Nachrichten mit Vorsicht zu begegnen. Anhänge oder Links, die in verdächtigen/irrelevanten E-Mails gefunden werden, dürfen nicht geöffnet werden, da sie infektiös sein können.
Darüber hinaus müssen alle Downloads von offiziellen und verifizierten Kanälen durchgeführt werden. Wir raten auch dazu, für die Aktivierung und Aktualisierung von Programmen Funktionen/Werkzeuge zu verwenden, die von echten Entwicklern bereitgestellt werden, da die von Dritten bezogenen Programme Malware enthalten können.
Eine weitere Empfehlung lautet, beim Surfen wachsam zu sein, da gefälschte und bösartige Online-Inhalte meist seriös und harmlos erscheinen.
Wir müssen betonen, wie wichtig es ist, ein seriöses Antivirus-Programm installiert zu haben und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßig das System zu scannen und erkannte Bedrohungen und Probleme entfernen. Wenn Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um alle Bedrohungen automatisch zu beseitigen.
Screenshot von E-Mails, die die NokNok-Backdoor verbreiten (Bildquelle - Proofpoint)
Erste E-Mail:
Der in diesem Schreiben dargestellte Text:
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Zweite E-Mail:
Text in diesem Schreiben:
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Umgehende automatische Entfernung von Mac-Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter (Mac)
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist "NokNok"?
- SCHRITT 1. Mit PUA verwandte Dateien und Ordner von OSX entfernen.
- SCHRITT 2. Betrügerische Erweiterungen von Safari entfernen.
- SCHRITT 3. Betrügerische Add-ons von Google Chrome entfernen.
- SCHRITT 4. Potenziell unerwünschte Plug-ins von Mozilla Firefox entfernen.
Das Video zeigt, wie man Adware und Browserentführer von einem Mac Computer entfernt:
Potenziell unerwünschte Anwendungen entfernen:
Potenziell unerwünschte Anwendungen von Ihrem "Programme" Ordner entfernen:
Klicken Sie auf das Finder-Symbol Wählen Sie in dem Finder-Fenster "Anwendungen" aus. Suchen Sie im Anwendungsordner nach "MPlayerX", "NicePlayer" oder anderen verdächtigen Anwendungen und ziehen Sie sie in den Papierkorb. Scannen Sie Ihren Mac auf verbleibende unerwünschte Komponenten. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die Online-Werbung verursachen, scannen Sie Ihren Mac auf alle unerwünschten Komponenten.
NokNok Malware bezogene Dateien und Ordner entfernen:
Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:
Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:
Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons
Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.
Scannen Sie Ihren Computer mit Combo Cleaner:
Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.
Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.
Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.
NokNok Malware Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:
Bösartige Erweiterungen von Safari entfernen:
NokNok Malware bezogene Safari Erweiterungen entfernen:
Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".
Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.
- Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.
Bösartige Programmerweiterungen von Mozilla Firefox entfernen:
NokNok Malware bezogene Mozilla Firefox Zusätze entfernen:
Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".
Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.
- Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Mozilla Firefox zurücksetzen.
Bösartige Erweiterungen von Google Chrome entfernen:
NokNok Malware bezogene Google Chrome Zusätze entfernen:
Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".
Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.
- IFalls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Google Chrome zurücksetzen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit NokNok-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
In den meisten Fällen ist eine Formatierung nicht erforderlich, um bösartige Programme zu entfernen.
Was sind die größten Probleme, die NokNok-Malware verursachen kann?
Die Bedrohungen, die von einer Infektion ausgehen, hängen von den Fähigkeiten der Malware und der Vorgehensweise der Cyberkriminellen ab. NokNok ist eine Backdoor - eine Art von Malware, die darauf ausgelegt ist, Ketteninfektionen zu verursachen. Es wurde beobachtet, dass sie von Bedrohungsakteuren für Cyberspionage eingesetzt wird, wobei zu den Zielen auch Personen und Einrichtungen gehören, die mit den Bereichen Außenpolitik und nukleare Sicherheit der USA in Verbindung stehen. Es gibt Hinweise darauf, dass die Gruppe, die hinter diesen Angriffen steckt, den Geheimdienst des Korps der Islamischen Revolutionsgarden (IRGC) unterstützt.
Während die meisten Malware-Infektionen zu Datenverlusten, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen können, bergen Angriffe, die sich gegen hochsensible Ziele richten, noch weitaus verheerendere Gefahren.
Was ist der Zweck der NokNok-Malware?
Die meisten Malware-Infektionen sind auf finanziellen Gewinn ausgerichtet. Wie in der vorangegangenen Antwort angedeutet, wurde NokNok jedoch auch für politisch/geopolitisch motivierte Angriffe eingesetzt.
Wie hat die NokNok-Malware meinen Computer infiltriert?
Es wurde beobachtet, dass NokNok über gezielte Spam-Mails verbreitet wurde. Diese Malware könnte jedoch auch über andere Köder oder Taktiken verbreitet werden.
Im Allgemeinen wird bösartige Software über Spam-E-Mails/Nachrichten, Online-Betrug, Drive-by-Downloads, Malvertising, dubiose Downloadkanäle (z. B. inoffizielle und kostenlose Filehosting-Webseiten, Peer-to-Peer-Netzwerke usw.), illegale Software-Aktivierungswerkzeuge ("Cracks"), gefälschte Updateprogramme usw. verbreitet. Einige bösartige Programme können sich sogar selbst über lokale Netzwerke und Wechseldatenträger verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Ja, Combo Cleaner ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu beseitigen. Es muss betont werden, dass die Durchführung eines vollständigen Systemscans unerlässlich ist, da hochentwickelte bösartige Software dazu neigt, sich tief im System zu verstecken.
Ausgezeichnet!
▼ Diskussion einblenden