Slevová nabídka pro více licencí
Databáze hrozeb Mac malware Malware pro macOS notnull

Malware pro macOS notnull

V roce Mezo v roce Mac malware, Zloději
Přeložit do:

notnullOSX je sofistikovaná rodina malwaru kradejícího informace, napsaná v programovacím jazyce Go. Je navržena tak, aby cílila na uživatele macOS se silným zaměřením na krádeže kryptoměn a dalších citlivých dat. Útočníci ji běžně šíří prostřednictvím podvodných kampaní ClickFix a instalačních souborů DMG infikovaných trojskými koňmi. Pokud je detekována na jakémkoli zařízení, měla by být neprodleně odstraněna.

Jak funguje notnullOSX po infekci

Po instalaci a udělení plného přístupu k disku dokáže notnullOSX číst velkou část souborů uložených v systému. Udržuje komunikaci se vzdáleným příkazovým serverem a stahuje samostatné škodlivé moduly, z nichž každý je vytvořen pro specifický úkol.

Tyto dočasné komponenty lze použít ke krádeži hesel, kopírování souborů, shromažďování přihlašovacích údajů a rozšiřování funkcí malwaru. Protože se moduly načítají podle potřeby, útočníci mohou infekci po počáteční kompromitaci průběžně přizpůsobovat.

Možnosti prohlížeče a krádeže osobních údajů

NotnullOSX se silně zaměřuje na data uložená v hlavních webových prohlížečích. Různé moduly se používají k extrakci specifických kategorií informací z Google Chrome, Mozilla Firefox a Safari.

Malware je schopen ukrást:

  • Uložená hesla, soubory cookie, záložky a historie prohlížení
  • Poznámky uložené v zařízení, data relace Telegram Desktop a až 500 zpráv v konverzaci, včetně příloh a formátování
  • SSH klíče, cloudové přihlašovací údaje, tokeny API a konfigurační soubory uložené v domovské složce uživatele

Tyto ukradené informace mohou zločincům poskytnout přístup k účtům, serverům, cloudovým prostředím a vývojovým platformám.

Kryptoměnové peněženky jsou primárním cílem

Hlavním cílem notnullOSX je krádež kryptoměn. Malware vyhledává data spojená s populárním softwarem peněženek, včetně Atomic Wallet, Bitcoin Core, Electrum, Exodus a Wasabi Wallet.

Také skenuje rozšíření peněženek v prohlížeči a kopíruje uložené informace, včetně šifrovaných seed frází. Dokonce i šifrovaná data peněženky mohou být později zneužita prostřednictvím útoků na heslo nebo dalšího sociálního inženýrství.

Funkce nahrazování aplikací zvyšuje nebezpečí

Na rozdíl od mnoha tradičních stealerů dokáže notnullOSX nahradit legitimní aplikace škodlivými podobami. Může si stáhnout falešnou verzi důvěryhodné aplikace, například softwaru peněženky, nahradit původní aplikaci a zachovat stejnou ikonu a vzhled.

Po spuštění se padělaná aplikace jeví jako normální, ale tajně shromažďuje citlivé informace, jako jsou fráze pro obnovení peněženky. Tuto funkci lze vzdáleně povolit nebo zakázat a obvykle se používá pouze tehdy, když cílová aplikace již v systému oběti existuje.

Víc než zloděj: Chování podobné kryse

NotnullOSX funguje spíše jako trojský kůň pro vzdálený přístup (RAT) než standardní informační krádež. Udržuje trvalé spojení se svými operátory a pravidelně kontroluje, zda neobdrží příkazy.

To útočníkům umožňuje:

  • Po infekci odeslat nové instrukce
  • Stažení a spuštění dalších škodlivých modulů
  • Aktualizace funkcí nebo nasazení dalších datových částí
  • Udržujte si dlouhodobou kontrolu nad napadenými systémy

Kvůli této flexibilitě se infekce mohou časem vyvíjet a stát se výrazně škodlivějšími.

Jak je distribuován notnullOSX

Malware se šíří především prostřednictvím útoků sociálního inženýrství, které manipulují uživatele k jeho instalaci. Obětem se mohou zobrazovat falešné problémy, například varování o „chráněném dokumentu Google“ nebo zpráva o poškozené aplikaci macOS. Poté jsou instruovány k opravě problému pomocí konkrétních kroků, což je taktika všeobecně známá jako ClickFix .

Tyto kroky často zahrnují spouštění příkazů v Terminálu nebo otevírání škodlivých souborů DMG. NotnullOSX byl také distribuován prostřednictvím falešných webových stránek se softwarem, podvodných portálů pro stahování, unesených kanálů YouTube a falešných aplikací, jako jsou nástroje pro tapety, jako je „WallSpace.app“.

Některé oběti jsou dokonce ručně vedeny k povolení úplného přístupu k disku, což malwaru poskytuje široký přehled o zařízení.

Závěrečné bezpečnostní posouzení

notnullOSX je vysoce nebezpečná hrozba pro macOS, která dokáže ukrást data prohlížeče, kryptoměny, soukromou komunikaci, autentizační materiály a přihlašovací údaje vývojářů. Její modulární design, trvalé dálkové ovládání a funkce nahrazování aplikací ji činí obzvláště závažnou. Oběti mohou čelit kompromitaci účtu, krádeži identity, finančním ztrátám a dalšímu nasazení malwaru. Po detekci se důrazně doporučuje okamžité odstranění a úplné obnovení přihlašovacích údajů.

 

Trendy

Nejvíce shlédnuto

Načítání...