برنامج خبيث لنظام macOS (notnullOSX)

يُعدّ برنامج notnullOSX عائلةً متطورةً من البرامج الخبيثة لسرقة المعلومات، مكتوبةً بلغة البرمجة Go. صُمّم هذا البرنامج لاستهداف مستخدمي نظام macOS، مع تركيزٍ خاص على سرقة العملات الرقمية وغيرها من البيانات الحساسة. ينتشر هذا البرنامج عادةً عبر حملات ClickFix الخادعة وملفات تثبيت DMG المُعدّلة. في حال اكتشافه على أي جهاز، يجب إزالته فورًا.

كيف يعمل نظام التشغيل notnullOSX بعد الإصابة؟

بمجرد تثبيت برنامج notnullOSX ومنحه صلاحية الوصول الكامل إلى القرص، يمكنه قراءة جزء كبير من الملفات المخزنة على النظام. ويحافظ على اتصال مع خادم أوامر عن بُعد، ويقوم بتنزيل وحدات خبيثة منفصلة، كل منها مصمم لمهمة محددة.

يمكن استخدام هذه المكونات المؤقتة لسرقة كلمات المرور، ونسخ الملفات، وجمع بيانات الاعتماد، وتوسيع وظائف البرمجيات الخبيثة. ونظرًا لأن الوحدات النمطية تُجلب حسب الحاجة، يستطيع المهاجمون تعديل الإصابة باستمرار بعد الاختراق الأولي.

إمكانيات المتصفح وسرقة البيانات الشخصية

يستهدف برنامج notnullOSX بشكل مكثف البيانات المخزنة في متصفحات الويب الرئيسية. ويتم استخدام وحدات مختلفة لاستخراج فئات محددة من المعلومات من متصفحات جوجل كروم، وموزيلا فايرفوكس، وسفاري.

البرنامج الخبيث قادر على سرقة:

• كلمات المرور المحفوظة، وملفات تعريف الارتباط، والإشارات المرجعية، وسجل التصفح
• الملاحظات المخزنة على الجهاز، وبيانات جلسة تطبيق تيليجرام على سطح المكتب، وما يصل إلى 500 رسالة لكل محادثة، بما في ذلك المرفقات والتنسيق.
• مفاتيح SSH، وبيانات اعتماد السحابة، ورموز API، وملفات التكوين المحفوظة في مجلد المستخدم الرئيسي

يمكن أن توفر هذه المعلومات المسروقة للمجرمين إمكانية الوصول إلى الحسابات والخوادم وبيئات الحوسبة السحابية ومنصات التطوير.

تُعد محافظ العملات المشفرة هدفًا رئيسيًا

يتمثل أحد الأهداف الرئيسية لبرنامج notnullOSX الخبيث في سرقة العملات المشفرة. يبحث هذا البرنامج عن البيانات المرتبطة ببرامج المحافظ الإلكترونية الشائعة، بما في ذلك Atomic Wallet وBitcoin Core وElectrum وExodus وWasabi Wallet.

كما يقوم البرنامج بفحص إضافات المحفظة الإلكترونية المثبتة على المتصفح ونسخ المعلومات المخزنة، بما في ذلك عبارات الاسترداد المشفرة. حتى بيانات المحفظة المشفرة قد تُستغل لاحقًا من خلال هجمات كلمات المرور أو أساليب الهندسة الاجتماعية الأخرى.

ميزة استبدال التطبيقات تزيد من الخطر

على عكس العديد من برامج سرقة البيانات التقليدية، يستطيع برنامج notnullOSX استبدال التطبيقات الأصلية بنسخٍ خبيثةٍ مشابهة. قد يقوم بتنزيل نسخةٍ مزيفةٍ من تطبيقٍ موثوق، مثل برنامج المحفظة الإلكترونية، واستبدال التطبيق الأصلي، مع الحفاظ على نفس الأيقونة والمظهر.

عند تشغيل التطبيق المزيف، يبدو طبيعيًا بينما يقوم سرًا بجمع معلومات حساسة مثل عبارات استعادة المحفظة. يمكن تفعيل هذه الميزة أو تعطيلها عن بُعد، وعادةً ما تُستخدم فقط عندما يكون التطبيق المستهدف موجودًا بالفعل على جهاز الضحية.

أكثر من مجرد سارق: سلوك يشبه سلوك الجرذان

يعمل برنامج notnullOSX بشكل أقرب إلى حصان طروادة للتحكم عن بعد (RAT) منه إلى برنامج سرقة معلومات عادي. فهو يحافظ على اتصال دائم مع مشغليه ويتحقق بانتظام من وجود أوامر.

وهذا يُمكّن المهاجمين من:

• إرسال تعليمات جديدة بعد الإصابة
• قم بتنزيل وتنفيذ وحدات خبيثة إضافية
• تحديث القدرات أو نشر حمولات إضافية
• يحافظ على السيطرة طويلة الأمد على الأنظمة المخترقة

وبسبب هذه المرونة، يمكن أن تتطور العدوى بمرور الوقت وتصبح أكثر ضرراً بشكل ملحوظ.

كيف يتم توزيع نظام التشغيل notnullOSX

ينتشر هذا البرنامج الخبيث بشكل أساسي عبر هجمات الهندسة الاجتماعية التي تتلاعب بالمستخدمين لحملهم على تثبيته بأنفسهم. قد يُعرض على الضحايا مشاكل وهمية، مثل تحذير "مستند جوجل محمي" أو رسالة تفيد بتلف أحد تطبيقات نظام macOS. ثم يُطلب منهم إصلاح المشكلة باتباع خطوات محددة، وهي حيلة تُعرف باسم "كليك فيكس" .

غالباً ما تتضمن هذه الخطوات تشغيل أوامر في سطر الأوامر أو فتح ملفات DMG خبيثة. كما تم توزيع برنامج notnullOSX عبر مواقع برامج مزيفة، وبوابات تنزيل احتيالية، وقنوات يوتيوب مخترقة، وتطبيقات وهمية مثل أدوات خلفيات الشاشة مثل 'WallSpace.app'.

بل إن بعض الضحايا يتم توجيههم يدويًا لتمكين الوصول الكامل إلى القرص، مما يمنح البرامج الضارة رؤية واسعة للجهاز.

التقييم الأمني النهائي

يُعدّ برنامج notnullOSX تهديدًا خطيرًا للغاية لنظام macOS، قادرًا على سرقة بيانات المتصفح، وأصول العملات الرقمية، والاتصالات الخاصة، وبيانات المصادقة، وبيانات اعتماد المطورين. ويزداد هذا التهديد خطورةً بفضل تصميمه المعياري، وقدرته على التحكم عن بُعد بشكل مستمر، واستبدال التطبيقات. قد يتعرض الضحايا لاختراق حساباتهم، وسرقة هوياتهم، وخسائر مالية، وانتشار برامج ضارة أخرى. يُنصح بشدة بإزالة البرنامج فورًا وإعادة تعيين بيانات الاعتماد بالكامل بعد اكتشافه.