Instructions de suppression du maliciel porte dérobée NokNok
Écrit par Tomas Meskauskas le
Quel type de maliciel est NokNok ?
NokNok est le nom d'un maliciel de type backdoor qui cible macOS (systèmes d'exploitation Mac). Les programmes de cette classification sont conçus pour ouvrir une "porte dérobée" permettant à d'autres composants malveillants de pénétrer dans les systèmes compromis.
NokNok a été utilisé dans des attaques de cyber-espionnage visant des personnes et des entités associées aux affaires étrangères et à la sécurité nucléaire des États-Unis. Ces attaques ont été préparées à la fois pour les utilisateurs de Windows et de Mac, ces derniers visant à infecter leurs appareils avec le maliciel NokNok.
Des éléments de preuve établissent un lien entre ces campagnes et des acteurs de la menace qui soutiennent le Corps des Gardiens de la Révolution Islamique (CGRI), en particulier l'organisation des services de renseignement du CGRI.
Vue générale du maliciel NokNok
Les campagnes de propagation de NokNok observées commençaient par des pièces jointes malveillantes dans des courriels de spam. Les courriers trompeurs comprenaient des lettres apparemment inoffensives, dont le thème était en rapport avec les victimes visées. Ces courriels comprenaient des pièces jointes sous forme d'archives ZIP protégées par mot de passe, qui contenaient le maliciel et une série d'instructions.
Le fichier d'archive comprenait une application Mac déguisée en solution "RUSI VPN" et une interface utilisateur graphique (GUI) de type "share drive". Lorsque l'application malveillante est lancée, elle exécute un fichier script Apple qui télécharge NokNok.
Si l'infection réussit, la porte dérobée NokNok commence à télécharger ses modules. L'un d'eux est conçu pour obtenir une liste des processus en cours d'exécution. Un autre module permet d'obtenir une liste des applications installées. Le module "Informations" collecte des données relatives au système (par exemple, la version de macOS, les durées de fonctionnement, etc. Un autre module encore assure la persistance du maliciel et peut être utilisé pour préparer le système à une nouvelle infection.
L'objectif de ces campagnes étant l'espionnage, NokNok pourrait être utilisé pour infiltrer des voleurs d'informations sophistiqués dans les appareils compromis. Les maliciels voleurs de données peuvent cibler des détails spécifiques ou un large éventail d'informations. Les voleurs peuvent extraire des données des systèmes et des applications installées.
En théorie, les maliciels à porte dérobée peuvent infecter les machines avec à peu près n'importe quel type de programme malveillant (par exemple, un cheval de Troie, un rançongiciel, etc.); cependant, ils opèrent généralement dans certaines limites.
Il faut mentionner que les développeurs de maliciels améliorent souvent leurs créations et leurs tactiques. Il n'est pas improbable que ce soit le cas avec NokNok, surtout si l'on considère la nature très ciblée de ces attaques.
En résumé, les maliciels peuvent provoquer de multiples infections du système, des pertes de données, de graves problèmes de confidentialité, des pertes financières et conduire à l'usurpation d'identité. Les attaques dirigées contre des entités particulièrement sensibles peuvent avoir des conséquences beaucoup plus dévastatrices.
| Nom | Maliciel NokNok |
| Type de Menace | Maliciel Mac, Virus Mac, Porte Dérobée |
| Noms de Détection | Avast (Other:Malware-gen [Trj]), Combo Cleaner (Heur.BZC.YAX.Boxter.151.12B21437), ESET-NOD32 (LNK/NukeSped.Y), Kaspersky (HEUR:Trojan.WinLNK.Agent.gen), Liste complète (VirusTotal) |
| Symptômes | Les maliciels à porte dérobée sont conçus pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
| Méthodes de Distribution | Pièces jointes de courriels infectés, publicités en ligne malveillantes, ingénierie sociale, "cracks" de logiciels. |
| Dommages | Vol de mots de passe et d'informations bancaires, usurpation d'identité, pertes financières, infections supplémentaires, etc. |
| Suppression des maliciels (Mac) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre Mac avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Exemples de maliciels de porte dérobée
Nous avons enquêté sur des milliers d'échantillons de maliciels ; RShell, macOS.Macma, OceanLotus – ne sont que quelques exemples de programmes de porte dérobée visant macOS, et ShadowVault, JokerSpy, Geacon, TrafficStealer – sont quelques-uns de nos articles les plus récents sur les maliciels spécifiques au Mac.
Les logiciels malveillants peuvent avoir une grande variété de capacités, qui peuvent être combinées de différentes manières. Cependant, quel que soit le mode de fonctionnement des maliciels - leur présence sur un système met en péril l'intégrité de l'appareil et la vie privée de l'utilisateur, ainsi que sa sécurité. C'est pourquoi nous conseillons vivement d'éliminer toutes les menaces dès qu'elles sont détectées.
Comment le maliciel NokNok a-t-il infiltré mon ordinateur ?
Comme indiqué précédemment, les campagnes NokNok connues proviennent de spams malveillants (captures d'écran ci-dessous). Elles visaient des personnes et des entités associées aux affaires étrangères et à la sécurité nucléaire des États-Unis. Les cybercriminels ont usurpé les comptes de courriel d'experts réputés, créant ainsi une impression de légitimité pour les courriels relatifs aux affaires du Moyen-Orient et à la sécurité nucléaire.
La première volée de maliciels diffusés par courriel n'était pas compatible avec les appareils Mac. Une fois ce facteur déterminé, la victime recevait une autre lettre destinée à infiltrer NokNok dans ses machines.
Certains courriels contenaient également un lien vers un faux site FTP (File Transfer Protocol). En outre, la victime recevait des informations d'identification pour le faux service de partage de fichiers. Cependant, une fois saisies, les informations d'identification étaient rejetées et la victime pouvait recevoir d'autres instructions. Il est possible que l'objectif du faux site soit de collecter des données sur les visiteurs.
Les courriels de spam contenaient en pièce jointe des fichiers ZIP protégés par un mot de passe. Le destinataire y trouvait des instructions et les fichiers déclenchant la première étape du maliciel NokNok. Ce dernier comprenait une application Mac présentée comme une solution "RUSI VPN" et l'interface graphique d'un lecteur partagé. Une fois l'application lancée, elle exécutait un fichier script Apple pour télécharger NokNok.
Il est pertinent de mentionner que ce maliciel pourrait être utilisé pour cibler d'autres sphères et être distribué à l'aide de différents leurres ou techniques.
L'hameçonnage et l'ingénierie sociale sont prépondérants dans la prolifération des maliciels. Les méthodes de distribution les plus répandues sont les suivantes : pièces jointes et liens malveillants dans les courriers indésirables (courriels, MP/DM, SMS, etc.), téléchargements "drive-by" (furtifs ou trompeurs), escroqueries en ligne, publicité malveillante, sources de téléchargement non fiables (sites web d'hébergement de fichiers gratuits ou non, réseaux de partage P2P, etc.
De plus, certains programmes malveillants peuvent s'autoproliférer via des réseaux locaux et des périphériques de stockage amovibles (disques durs externes, clés USB, etc.).
Comment éviter l'installation de maliciels ?
Il est vivement recommandé d'aborder les courriels et autres messages entrants avec prudence. Les pièces jointes ou les liens trouvés dans des courriers suspects ou non pertinents ne doivent pas être ouverts, car ils peuvent être infectieux.
En outre, tous les téléchargements doivent être effectués à partir de canaux officiels et vérifiés. Nous conseillons également d'activer et de mettre à jour les programmes en utilisant les fonctions/outils fournis par les développeurs authentiques, car ceux acquis auprès de tiers peuvent contenir des maliciels.
Il est également recommandé d'être vigilant lors de la navigation, car les contenus en ligne falsifiés et malveillants semblent généralement légitimes et inoffensifs.
Il convient de souligner l'importance de l'installation et de la mise à jour d'un antivirus réputé. Les logiciels de sécurité doivent être utilisés pour effectuer des analyses régulières du système et pour supprimer les menaces et les problèmes détectés. Si votre ordinateur est déjà infecté, nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement toutes les menaces.
Capture d'écran de courriels diffusant la porte dérobée NokNok (source de l'image – Proofpoint);
Premier courriel :
Text présenté dans cette lettre :
Dear -
This is Prof. Karl Robers, a Senior Fellow and Deputy Director of Terrorism and Conflict at RUSI.
We are studying security issues and working on a project called "Iran in the Global Security Context" which evaluates the impact of the Abraham Accords on Iran's regional role and MENA security now. I've been making the rounds with a few experts about our new project. We've written a bit on this, and it would be, no question, our please to have you read it. I just need the green light to send it to you.
Emily Winterbotham, Dr. Antonio Giustozzi, and Dr. Jessica White are the main members of this project and we can give you a call to further explain our project.
To show our appreciation for your willingness to participate in this project, we would like to offer you an honorarium.
I was hoping you might be up for a chat too and Looking forward to hearing from you.
Best,
Karl
Second courriel :
Text présenté dans cette lettre :
Hi - This is Emily Winterbotham, a director of the Terrorism and Conflict at the RUSI Center. Yesterday I was talking about the project with Prof. Karl, who informed me that he sent you the completed parts of the project and how to access the shared folder, but unfortunately, he has not received any response from you yet.
We are very interested to benefit from your opinions and expertise in our project.
Looking forward to hearing from you.
Best
Emily
Suppression instantanée et automatique des maliciels sur Mac :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels recommandé pour supprimer les maliciels Mac. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner pour Mac
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que "NokNok" ?
- ETAPE 1. Supprimez les fichiers et dossiers liés à PUA dans OSX.
- ETAPE 2. Supprimez les extensions malveillantes de Safari.
- ETAPE 3. Supprimez les modules complémentaires indésirables de Google Chrome.
- ETAPE 4. Supprimez les plug-ins potentiellement indésirables de Mozilla Firefox.
Vidéo montrant comment supprimer les publiciels et les pirates de navigateur d'un ordinateur Mac :
Suppression d'applications potentiellement non désirées :
Supprimez les applications potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône du Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et mettez-les à la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables à l'origine des publicités en ligne, analysez votre Mac à la recherche de tout autre composant indésirable.
Suppression des fichiers et dossiers reliés au maliciel noknok:
Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...
Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:
Dans la barre Aller au dossier... taper: Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés dans le dossier de /Library/Application Support :
Dans la barreAller au dossier..., taper: /Library/Application Support
Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:
Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:
Dans la barre Aller au dossier, taper : /Library/LaunchDaemons
Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.
Scanner votre Mac avec Combo Cleaner:
Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.
Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.
Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.
Suppression du maliciel noknok dans les navigateurs Internet :
Suppression des extensions malicieuses dans Safari:
Suppression des extensions reliées à maliciel noknok dans Safari :
Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".
Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.
Supprimer les plug-ins malicieux dans Mozilla Firefox:
Supprimer les ajouts reliés à maliciel noknok dans Mozilla Firefox :
Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".
Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.
Suppression des extensions malicieuses dans Google Chrome :
Suppression des ajouts reliés à maliciel noknok dans Google Chrome :
Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".
Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.
Foire Aux Questions (FAQ)
Mon ordinateur est infecté par le maliciel NokNok, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Dans la plupart des cas, la suppression des programmes malveillants ne nécessite pas de formatage.
Quels sont les plus gros problèmes que les maliciels NokNok peuvent causer ?
Les menaces posées par une infection dépendent des capacités du maliciel et du mode opératoire des cybercriminels. NokNok est une porte dérobée - un type de maliciel conçu pour provoquer des infections en chaîne. Il a été observé que des acteurs de la menace l'utilisaient à des fins de cyber-espionnage, en ciblant notamment des personnes et des entités liées aux secteurs des affaires étrangères et de la sécurité nucléaire aux États-Unis. Certains éléments suggèrent que le groupe à l'origine de ces attaques soutien l'Organisation de renseignement du Corps des Gardiens de la Révolution Islamique (CGRI).
Alors que la plupart des infections par des maliciels peuvent entraîner la perte de données, de graves problèmes de confidentialité, des pertes financières et le vol d'identité, les attaques dirigées contre des cibles très sensibles comportent des dangers beaucoup plus dévastateurs.
Quel est l'objectif des maliciels NokNok ?
La plupart des infections par des maliciels sont motivées par l'appât du gain. Toutefois, comme l'indique la réponse précédente, NokNok a été utilisé dans le cadre d'attaques à caractère politique ou géopolitique.
Comment le maliciel NokNok s'est-il infiltré dans mon ordinateur ?
NokNok a été diffusé par le biais de spams ciblés. Cependant, ce maliciel pourrait être distribué en utilisant d'autres leurres ou tactiques.
En général, les logiciels malveillants sont diffusés par le biais de courriels/messages de spam, d'escroqueries en ligne, de téléchargements "drive-by", de publicités malveillantes, de canaux de téléchargement douteux (par exemple, sites web d'hébergement de fichiers non officiels et gratuits, réseaux de partage Peer-to-Peer, etc. Certains programmes malveillants peuvent même se propager d'eux-mêmes par le biais de réseaux locaux et de périphériques de stockage amovibles.
Combo Cleaner me protège-t-il des maliciels ?
Oui, Combo Cleaner est capable de détecter et d'éliminer la plupart des maliciels connus. Il convient de souligner qu'il est essentiel d'effectuer une analyse complète du système, car les logiciels malveillants sophistiqués ont tendance à se cacher en profondeur dans les systèmes.
!Remarquable!
▼ Montrer la discussion