Charming Kitten ist für Sicherheitsforscher keine Unbekannte. Bereits seit 2015 ist die Gruppe aktiv und steckt laut Untersuchungen von Mandiant hinter mindestens 30 Hacking-Kampagnen in 14 Ländern. Google hat den Bedrohungsakteur darüber hinaus mit dem iranischen Staat in Verbindung gebracht, genauer gesagt mit dem Korps der Islamischen Revolutionsgarden (IRGC). Im September 2022 gelang es den US-Behörden, einige Mitglieder zu identifizieren und für ihre Machenschaften zur Rechenschaft zu ziehen.
Doch neueren Untersuchungen zufolge haben diese Erfolge nicht dazu geführt, dass Charming Kitten ihre Aktivitäten einstellt. Laut einem Bericht von Sicherheitsforschern von Proofpoint haben sie sich eine neue Strategie zugelegt und verbreiten ihre Malware jetzt über LNK-Dateien.
Dabei geben sie sich als Nuklear-Experten aus den USA aus und treten an die Zielpersonen mit dem Angebot heran, Entwürfe zu außenpolitischen Themen zu diskutieren. Dazu hätten sie einige Ideen zusammengetragen, die der Empfänger der Phishing-Mail gerne lesen solle. In vielen Fällen schalten die Angreifer zusätzlich andere Personen in das Gespräch ein, die in der ersten Mail als Projektbeteiligte genannt werden. So soll ein Gefühl der Legitimität vermittelt und eine Beziehung zur Zielperson aufgebaut werden. Ist das gelungen, erhält das Opfer einen Link, über den es die vermeintlichen Dokumente zum Lesen herunterladen könne. Darin enthalten ist ein Google-Script-Makro, das zu einer Dropbox weiterleitet. Diese externe Quelle hostet ein passwortgeschütztes RAR-Archiv mit einem Malware-Dropper, der PowerShell-Code und eine LNK-Datei nutzt, um die Malware von einem Cloud-Hosting-Anbieter aus bereitzustellen.
Lädt das Opfer die verseuchten Dateien herunter, infiziert es sein System mit der Malware GorjolEcho, eine einfache Hintertür, die Befehle von den Hackern annimmt und ausführt. Um keinen Verdacht zu erregen, öffnet GorjolEcho außerdem eine PDF-Datei, deren Inhalt zur zuvor geführten Diskussion passt.
Diese Malware funktioniert nur bei Nutzern des Windows-Betriebssystems, doch Charming Kitten möchte sein Tätigkeitsfeld auch auf MacOS-User ausweiten. Sobald sie also merken, dass die Infektion mit GorjolEcho nicht erfolgreich war, wird ein neuer Link verschickt, unter dem eine Zip-Datei hinterlegt ist. Diese gibt sich als VPN-App des RUSI (Royal United Services Institute) aus und führt dazu, dass die auf MacOS zugeschnittene Malware NokNok heruntergeladen wird. Diese sammelt Systeminformationen, darunter die Version des Betriebssystems, laufende Prozesse und installierte Anwendungen, verschlüsselt alle gesammelten Daten, kodiert sie im base64-Format und exfiltriert sie.
Laut Untersuchungen von Proofpoint könnte NokNok außerdem über weitere Module mit spezifischeren spionagebezogenen Funktionen verfügen. Darauf weisen Übereinstimmungen im Code von NokNok mit der Malware GhostEcho hin.
In den vergangenen Monaten hat die Zahl der Angriffe auf das Apple-Betriebssystem zugenommen. Während es bislang immer hieß, dass MacOS-Nutzer sich um Malware nur wenige Sorgen machen müssten, zeigen die aktuellen Kampagnen, dass dies nicht länger der Fall ist. Hackergruppen wie Charming Kitten verfügen nicht nur über eine große Anpassungsfähigkeit, sondern auch über das nötige Wissen, um alle gängigen Betriebssysteme anzugreifen.