Il nuovo malware Mocha Manakin distribuisce NodeInitRAT tramite attacco Clickfix
Una nuova e preoccupante minaccia informatica, denominata Mocha Manakin, è stata identificata dalla società di ricerca sulla sicurezza informatica Red Canary. Rilevata per la prima volta nel gennaio 2025, questa minaccia combina in modo unico tecniche di ingegneria sociale che ingannano gli utenti con software dannosi appositamente sviluppati.
Mocha Manakin utilizza una tattica ingannevole chiamata "incolla ed esegui" (nota anche come Clickfix o fakeCAPTCHA ). Questo metodo inganna gli utenti inducendoli a copiare ed eseguire inconsapevolmente comandi dannosi, spesso camuffati come passaggi per risolvere il problema dell'accesso a un documento o per dimostrare di essere umani.
Queste false istruzioni aggirano i normali controlli di sicurezza, facilitando il download di ulteriori programmi dannosi sul computer della vittima da parte dello script dannoso. Dall'agosto 2024, Red Canary ha registrato un aumento degli attacchi "incolla ed esegui" grazie alla sua efficacia nell'ingannare gli utenti.
Secondo il post del blog tecnico dell'azienda, ciò che rende Mocha Manakin diverso è il programma dannoso personalizzato che distribuisce: una backdoor basata su NodeJS chiamata NodeInitRAT. Una volta che un utente cade nella trappola del "incolla ed esegui", viene eseguito un comando di PowerShell per scaricare un file .zip, che viene poi salvato nella cartella temporanea dell'utente, in genere C:\Users\ .
Questo archivio .zip contiene un programma node.exe legittimo. PowerShell utilizza quindi questo node.exe per eseguire il codice dannoso NodeInitRAT, passandolo direttamente tramite la riga di comando.
Una volta installato, NodeInitRAT può raccogliere segretamente informazioni di rete sensibili, eseguire qualsiasi comando impartito e distribuire software dannoso. Questa backdoor personalizzata comunica con i suoi controller tramite Internet, spesso utilizzando tunnel Cloudflare legittimi per nascondere la sua attività.
A maggio 2025, Red Canary non ha riscontrato direttamente l'esistenza di Mocha Manakin come causa di attacchi ransomware. Tuttavia, in base alle sue capacità e ai collegamenti con l'attività del ransomware Interlock osservata da Sekoia.io , Red Canary ritiene con un certo grado di sicurezza che infezioni non fermate di Mocha Manakin potrebbero probabilmente sfociare in attacchi ransomware. Questa correlazione è preoccupante, evidenziando il serio potenziale di crittografia dei dati e di richieste finanziarie.
Red Canary consiglia alle organizzazioni di istruire il personale sulle tattiche "incolla ed esegui", insegnando loro a non seguire istruzioni inaspettate che richiedono di copiare e incollare comandi nel sistema. È fondamentale anche monitorare comportamenti insoliti del computer. Se viene rilevato NodeInitRAT, interrompere immediatamente i processi node.exe attivi che eseguono il malware. Il codice dannoso potrebbe anche essere presente in file nascosti (come quelli presenti in AppData\Roaming ) o nelle voci del Registro di sistema di Windows, che devono essere eliminate per impedire al malware di riprodursi.
Per la difesa della rete, il blocco delle comunicazioni con i domini dannosi noti utilizzati da NodeInitRAT può impedirgli di connettersi ai suoi controller. I team tecnici possono anche impostare regole di rilevamento per individuare i comandi di PowerShell che utilizzano invoke-expression e invoke-restmethod , tipici segnali dell'infezione iniziale di Mocha Manakin. Rimanendo vigili e implementando queste misure di protezione, le organizzazioni possono ridurre significativamente il rischio derivante da questa crescente minaccia.
HackRead
