Instrucciones de eliminación del malware backdoor NokNok
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es NokNok?
NokNok es el nombre de un malware de tipo puerta trasera dirigido a macOS (sistemas operativos de Mac). Los programas de esta clasificación están diseñados para abrir una "puerta trasera" para componentes maliciosos adicionales en los sistemas comprometidos.
NokNok se ha utilizado en ataques de ciberespionaje dirigidos a personas y entidades relacionadas con los asuntos exteriores y la seguridad nuclear de Estados Unidos. Estos ataques se prepararon tanto para usuarios de Windows como de Mac; estos últimos pretendían infectar sus dispositivos con el malware NokNok.
Existen pruebas que vinculan estas campañas con agentes de amenazas que apoyan al Cuerpo de la Guardia Revolucionaria Islámica (IRGC), concretamente a la Organización de Inteligencia del IRGC.
Resumen del malware NokNok
Las campañas de proliferación de NokNok observadas comenzaron con archivos adjuntos maliciosos en correos electrónicos de spam. El correo engañoso incluía correos aparentemente inocuos y temáticamente relevantes para las víctimas previstas. Estos correos incluían archivos ZIP protegidos con contraseña, que contenían el malware y una serie de instrucciones.
El archivo comprimido incluía una aplicación para Mac disfrazada de solución "RUSI VPN" e interfaz gráfica de usuario (GUI) de unidad compartida. Cuando se iniciaba la aplicación maliciosa, ejecutaba un archivo de script de Apple que descargaba NokNok.
Si la infección tiene éxito, el backdoor NokNok comienza a descargar sus módulos. Uno de ellos está diseñado para obtener una lista de los procesos que se están ejecutando actualmente. Otro adquiere una lista de las aplicaciones instaladas. El módulo "Información" recopila datos relativos al sistema (por ejemplo, versión de macOS, horas de funcionamiento, etc.), la red y las aplicaciones instaladas. Otro módulo garantiza la persistencia del malware y puede utilizarse para preparar el sistema para nuevas infecciones.
Dado que el objetivo de estas campañas es el espionaje, NokNok podría utilizarse para infiltrar sofisticados ladrones de información en los dispositivos comprometidos. El malware de robo de datos puede dirigirse a detalles específicos o a una amplia gama de información. Los stealers pueden extraer datos de los sistemas y de las aplicaciones instaladas.
En teoría, el malware de puerta trasera puede infectar máquinas con casi cualquier tipo de programa malicioso (por ejemplo, troyanos, ransomware, etc.); sin embargo, suele operar con ciertas limitaciones.
Hay que mencionar que los desarrolladores de malware a menudo mejoran sus creaciones y tácticas. No es improbable que sea el caso de NokNok, especialmente teniendo en cuenta la naturaleza altamente selectiva de estos ataques.
En resumen, el malware puede causar múltiples infecciones del sistema, pérdida de datos, graves problemas de privacidad, pérdidas financieras y conducir al robo de identidad. Los ataques dirigidos contra entidades especialmente sensibles pueden tener consecuencias mucho más devastadoras.
| Nombre | Malware "NokNok" |
| Tipo de amenaza | Malware para Mac, Virus Mac, Puerta trasera |
| Nombres de detección | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), Lista completa (VirusTotal) |
| Síntomas | El malware backdoor está diseñado para infiltrarse sigilosamente en el ordenador de la víctima y permanecer oculto, por lo que no se aprecian síntomas particulares en una máquina infectada. |
| Métodos de distribución | Adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, "cracks" de software. |
| Daños | Robo de contraseñas e información bancaria, suplantación de identidad, pérdidas monetarias, infecciones adicionales, etc. |
| Eliminación de Malware (Mac) | Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de malware de puerta trasera
Hemos investigado miles de muestras de malware; RShell, macOS.Macma y OceanLotus son algunos ejemplos de programas backdoor dirigidos a macOS, y ShadowVault, JokerSpy, Geacon y TrafficStealer son sólo algunos de nuestros artículos más recientes sobre malware específico para Mac.
El software malicioso puede tener una amplia variedad de capacidades, que pueden estar en diferentes combinaciones. Sin embargo, independientemente de cómo opere el malware, su presencia en un sistema pone en peligro la integridad del dispositivo y la privacidad del usuario, así como su seguridad. Por lo tanto, recomendamos encarecidamente eliminar todas las amenazas inmediatamente después de su detección.
¿Cómo se infiltró el malware NokNok en mi ordenador?
Como ya se ha mencionado, las campañas conocidas de NokNok tenían su origen en correos spam maliciosos (capturas de pantalla más abajo). Su objetivo eran personas y entidades relacionadas con las esferas de asuntos exteriores y seguridad nuclear de Estados Unidos. Los ciberdelincuentes suplantaron las cuentas de correo electrónico de conocidos expertos, creando así una impresión de legitimidad para los correos relacionados con asuntos de Oriente Próximo y seguridad nuclear.
La andanada inicial de malware propagado por correo electrónico no era compatible con dispositivos Mac. Una vez determinado ese factor, se enviaba a la víctima otro correo con la intención de infiltrar NokNok en sus máquinas.
Algunos de los correos también incluían un enlace a un falso sitio web FTP (Protocolo de Transferencia de Archivos). Además, se proporcionaban a la víctima credenciales de inicio de sesión para el falso servicio de intercambio de archivos. Sin embargo, una vez introducidas, las credenciales eran rechazadas y la víctima podía recibir más instrucciones. Es posible que el objetivo del sitio falso fuera recopilar datos de los visitantes.
Los correos electrónicos de spam llevaban adjuntos archivos ZIP protegidos por contraseña. En ellos, el destinatario encontraba instrucciones y los archivos que activaban la primera fase del malware NokNok. Estos últimos incluían una aplicación para Mac presentada como una solución "RUSI VPN" y la interfaz gráfica de una unidad compartida. Una vez iniciada la aplicación, ejecutaba un archivo de script de Apple para descargar NokNok.
Es pertinente mencionar que este malware podría utilizarse para dirigirse a otros ámbitos y distribuirse utilizando diferentes señuelos o técnicas.
El phishing y la ingeniería social son frecuentes en la proliferación de programas maliciosos. Los métodos de distribución más utilizados son: adjuntos y enlaces maliciosos en el correo basura (p. ej., correos electrónicos, MP/DM, SMS, etc.), descargas "drive-by" (sigilosas/engañosas), estafas en línea, publicidad maliciosa, fuentes de descarga poco fiables (p. ej., freeware y sitios web gratuitos de alojamiento de archivos, redes de intercambio P2P, etc.), herramientas ilegales de activación de programas ("cracks") y actualizaciones falsas.
Además, algunos programas maliciosos pueden autoproliferarse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¿Cómo evitar la instalación de programas maliciosos?
Recomendamos encarecidamente abordar los correos electrónicos y otros mensajes entrantes con precaución. No se deben abrir los archivos adjuntos o enlaces encontrados en correos sospechosos/irrelevantes, ya que pueden ser infecciosos.
Además, todas las descargas deben realizarse desde canales oficiales y verificados. También se aconseja activar y actualizar los programas utilizando funciones/herramientas proporcionadas por desarrolladores genuinos, ya que las adquiridas a terceros pueden contener malware.
Otra recomendación es estar atentos al navegar, ya que los contenidos falsos y maliciosos online suelen parecer legítimos e inofensivos.
Debemos insistir en la importancia de tener instalado y actualizado un antivirus de confianza. El software de seguridad debe utilizarse para ejecutar análisis periódicos del sistema y eliminar las amenazas y problemas detectados. Si su ordenador ya está infectado, recomendamos ejecutar un análisis con Combo Cleaner para eliminar automáticamente todas las amenazas.
Captura de pantalla de los correos electrónicos en los que prolifera el backdoor NokNok (fuente de la imagen: Proofpoint);
Primer correo electrónico:
Texto que aparece en este correo:
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Segundo correo electrónico:
Texto que aparece en este correo:
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Eliminación automática instantánea de malware para Mac:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú de acceso rápido:
- ¿Qué es "NokNok"?
- PASO 1. Eliminar los archivos y carpetas relacionados con las PUA de OSX.
- PASO 2. Eliminar las extensiones maliciosas de Safari.
- PASO 3. Eliminar los complementos maliciosos de Google Chrome.
- PASO 4. Eliminar los complementos potencialmente no deseados de Mozilla Firefox.
Vídeo que demuestra cómo eliminar adware y secuestradores del navegador de un ordenador Mac:
Eliminación de aplicaciones potencialmente no deseadas:
Eliminar las aplicaciones potencialmente no deseadas de la carpeta "Aplicaciones":
Haga clic en el icono del Finder. En la ventana del Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque "MPlayerX", "NicePlayer" u otras aplicaciones sospechosas y arrástrelas a la Papelera. Tras eliminar las aplicaciones potencialmente no deseadas que generan anuncios en línea, analice su Mac en busca de componentes restantes no deseados.
Elimine los archivos y carpetas vinculados al malware "noknok":
Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support
En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.
Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons
En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.
Analice su equipo Mac con Combo Cleaner:
Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".
Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.
Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.
Eliminar el malware "noknok" de los navegadores web:
Eliminar extensiones maliciosas de Safari:
Eliminar las extensiones vinculadas a malware "noknok" de Safari:
Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".
En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.
Eliminar complementos maliciosos de Mozilla Firefox:
Eliminar los complementos vinculados a malware "noknok" de Mozilla Firefox:
Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".
Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Mozilla Firefox.
Eliminar extensiones maliciosas de Google Chrome:
Eliminar los complementos vinculados a malware "noknok" en Google Chrome:
Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".
En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Google Chrome.
Preguntas frecuentes (FAQ)
Mi ordenador está infectado con el malware NokNok, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
En la mayoría de los casos, la eliminación de programas maliciosos no requiere formateo.
¿Cuáles son los principales problemas que puede causar el malware NokNok?
Las amenazas que plantea una infección dependen de las capacidades del malware y del modus operandi de los ciberdelincuentes. NokNok es una puerta trasera, un tipo de malware diseñado para causar infecciones en cadena. Se ha observado que las amenazas lo utilizan con fines de ciberespionaje, y entre sus objetivos figuran personas y entidades relacionadas con los sectores de asuntos exteriores y seguridad nuclear de Estados Unidos. Hay pruebas que sugieren que el grupo que está detrás de estos ataques apoya a la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria Islámica (IRGC).
Aunque la mayoría de las infecciones de malware pueden provocar la pérdida de datos, graves problemas de privacidad, pérdidas financieras y robo de identidad, los ataques dirigidos contra objetivos altamente sensibles conllevan peligros mucho más devastadores.
¿Cuál es el objetivo del malware NokNok?
La mayoría de las infecciones de malware están motivadas por el beneficio económico. Sin embargo, como se indica en la respuesta anterior, NokNok se ha utilizado en ataques con motivaciones políticas o geopolíticas.
¿Cómo se infiltró el malware NokNok en mi ordenador?
Se ha observado que NokNok se propaga a través de correo spam selectivo. Sin embargo, este malware podría distribuirse utilizando otros señuelos o tácticas.
Por lo general, los programas maliciosos proliferan a través de correos electrónicos o mensajes de spam, estafas en línea, descargas "drive-by", publicidad maliciosa, canales de descarga dudosos (por ejemplo, sitios web de alojamiento de archivos no oficiales y gratuitos, redes de intercambio Peer-to-Peer, etc.), herramientas ilegales de activación de software ("cracks"), actualizadores falsos, etc. Algunos programas maliciosos pueden incluso autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner es capaz de detectar y eliminar la mayoría de las infecciones de malware conocidas. Cabe destacar que es esencial realizar un análisis completo del sistema, ya que el software malicioso sofisticado tiende a esconderse en las profundidades de los sistemas.
¡Excelente!
▼ Mostrar discusión.