Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac NotnullOSX macOS Malware

NotnullOSX macOS Malware

El Mezo el Programari maliciós per a Mac, Ladrons
Traduir a:

notnullOSX és una sofisticada família de programari maliciós que roba informació, escrita en el llenguatge de programació Go. Està dissenyat per als usuaris de macOS, amb un fort enfocament en el robatori de criptomonedes i altres dades sensibles. Els actors amenaçadors el distribueixen habitualment a través de campanyes enganyoses de ClickFix i fitxers d'instal·lació DMG amb troians. Si es detecta en qualsevol dispositiu, s'ha d'eliminar immediatament.

Com funciona notnullOSX després d'una infecció

Un cop instal·lat i amb accés complet al disc, notnullOSX pot llegir una gran part dels fitxers emmagatzemats al sistema. Manté la comunicació amb un servidor d'ordres remot i descarrega mòduls maliciosos separats, cadascun creat per a una tasca específica.

Aquests components temporals es poden utilitzar per robar contrasenyes, copiar fitxers, recopilar credencials i ampliar la funcionalitat del programari maliciós. Com que els mòduls es recuperen segons calgui, els atacants poden adaptar contínuament la infecció després del compromís inicial.

Funcions de robatori de dades personals i del navegador

notnullOSX s'enfoca principalment en les dades emmagatzemades als principals navegadors web. S'utilitzen diferents mòduls per extreure categories específiques d'informació de Google Chrome, Mozilla Firefox i Safari.

El programari maliciós és capaç de robar:

  • Contrasenyes, galetes, marcadors i historial de navegació desats
  • Notes emmagatzemades al dispositiu, dades de sessió de Telegram Desktop i fins a 500 missatges per conversa, inclosos els fitxers adjunts i el format.
  • Claus SSH, credencials al núvol, tokens d'API i fitxers de configuració desats a la carpeta d'inici de l'usuari

Aquesta informació robada pot proporcionar als delinqüents accés a comptes, servidors, entorns de núvol i plataformes de desenvolupament.

Els moneders de criptomonedes són un objectiu principal

Un dels principals objectius de notnullOSX és el robatori de criptomonedes. El programari maliciós busca dades vinculades a programari de moneders populars, com ara Atomic Wallet, Bitcoin Core, Electrum, Exodus i Wasabi Wallet.

També escaneja les extensions de cartera basades en navegador i copia la informació emmagatzemada, incloses les frases inicials xifrades. Fins i tot les dades xifrades de la cartera poden ser explotades posteriorment mitjançant atacs de contrasenya o més enginyeria social.

La funció de substitució d'aplicacions augmenta el perill

A diferència de molts lladres tradicionals, notnullOSX pot substituir aplicacions legítimes per aplicacions malicioses similars. Pot descarregar una versió falsa d'una aplicació de confiança, com ara un programari de moneder, substituir l'aplicació original i conservar la mateixa icona i aparença.

Quan s'inicia, l'aplicació falsificada sembla normal mentre recopila en secret informació confidencial com ara frases de recuperació de moneder. Aquesta funció es pot activar o desactivar de forma remota i normalment només s'utilitza quan l'aplicació objectiu ja existeix al sistema de la víctima.

Més que un lladre: comportament semblant al d'una rata

notnullOSX funciona més com un troià d'accés remot (RAT) que com un lladre d'informació estàndard. Manté una connexió persistent amb els seus operadors i comprova regularment si hi ha ordres.

Això permet als atacants:

  • Enviar noves instruccions després de la infecció
  • Baixeu i executeu mòduls maliciosos addicionals
  • Actualitzar les capacitats o implementar càrregues útils addicionals
  • Mantenir el control a llarg termini sobre els sistemes compromesos

A causa d'aquesta flexibilitat, les infeccions poden evolucionar amb el temps i esdevenir significativament més perjudicials.

Com es distribueix notnullOSX

El programari maliciós es propaga principalment mitjançant atacs d'enginyeria social que manipulen els usuaris perquè l'instal·lin ells mateixos. A les víctimes se'ls poden mostrar problemes falsos, com ara un avís de "document de Google protegit" o un missatge d'aplicació macOS danyada. A continuació, se'ls indica que solucionin el problema mitjançant passos específics, una tàctica àmpliament coneguda com a ClickFix .

Aquests passos sovint impliquen executar ordres al Terminal o obrir fitxers DMG maliciosos. notnullOSX també s'ha distribuït a través de llocs web de programari falsos, portals de descàrregues fraudulentes, canals de YouTube segrestats i aplicacions falses com ara eines de fons de pantalla com ara "WallSpace.app".

Algunes víctimes fins i tot reben instruccions per activar manualment l'accés complet al disc, cosa que dóna al programari maliciós una àmplia visibilitat del dispositiu.

Avaluació final de seguretat

notnullOSX és una amenaça de macOS altament perillosa capaç de robar dades del navegador, actius de criptomoneda, comunicacions privades, material d'autenticació i credencials de desenvolupador. El seu disseny modular, el control remot persistent i les funcions de substitució d'aplicacions la fan especialment greu. Les víctimes poden afrontar el compromís del compte, el robatori d'identitat, les pèrdues financeres i la implementació de programari maliciós addicional. Es recomana fermament l'eliminació immediata i un procés complet de restabliment de credencials després de la detecció.


Tendència

Més vist

Carregant...