Prikaži glavni meni

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Vesti, 23.06.2025, 14:00 PM

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. Kampanja, koju je otkrio istraživački tim firme za sajber bezbednost Red Canary a koja je prvi put primećena u januaru ove godine, kombinuje društveni inženjering i sofisticirani malver.

Šta je zapravo Mocha Manakin?

Umesto na tradicionalne fišing linkove i zaražene priloge, Mocha Manakin se oslanja na taktiku poznatu kao „paste and run“ (poznatu i kao „Clickfix“ ili „fakeCAPTCHA“) - korisniku se pod lažnim izgovorom daje instrukcija da nešto sam kopira i zalepi u komandnu liniju, često uz objašnjenje da će se tako “proveriti da li je robot” ili “popraviti pristup dokumentu”. Korisnik, misleći da rešava tehnički problem, sam sebi instalira malver. Ovim instrukcijama se zaobilaze uobičajene bezbednosne provere, što olakšava infekciju računara malverom.

Od avgusta 2024. godine, Red Canary je zabeležio porast „nalepi i pokreni“ napada, što se može objasniti efikasnošću ovih napada u obmanjivanju korisnika.

Za razliku od drugih prevara koje se oslanjaju na poznate alate, Mocha Manakin koristi sopstveni backdoor - NodeInitRAT. Kada korisnik nasedne na trik „nalepi i pokreni“, PowerShell preuzima .zip fajl, koji se zatim raspakuje u Temp folder, obično C:UsersAppDataLocalTemp.

Ova .zip arhiva sadrži legitiman program node.exe koji će biti iskorišćen za pokretanje zlonamernog koda NodeInitRAT.

Kada je instaliran, NodeInitRAT može tajno prikupljati informacije o mreži, izvršavati sve komande koje mu pošalju napadači i instalirati dodatne malvere.

Red Canary nije pronašao dokaze da Mocha Manakin vodi do infekcije ransomware-om. Međutim, na osnovu njegovih mogućnosti i veza sa Interlock ransomware-om, istraživači veruju da bi neprekidne Mocha Manakin infekcije mogle dovesti do ransomware napada.

Kako se zaštititi?

Najveća slabost ove kampanje nije tehnologija već čovek. Zato je edukacija prvi korak. Nikada ne kopirajte i ne izvršavajte komande koje dobijete u mejlu ili poruci, ma koliko izgledale legitimno. Organizacije bi trebalo da upozore zaposlene na „paste and run” taktiku. Praćenje neobičnog ponašanja računara je takođe ključno. Ako se pronađe NodeInitRAT, odmah treba zaustaviti aktivne node.exe procese koji pokreću malver.