NotnullOSX macOS-malware
notnullOSX er en sofistikeret malware-familie, der stjæler information og er skrevet i programmeringssproget Go. Den er designet til at målrette macOS-brugere med et stærkt fokus på at stjæle kryptovaluta og andre følsomme data. Trusselaktører distribuerer den ofte gennem vildledende ClickFix-kampagner og trojaniserede DMG-installationsfiler. Hvis den opdages på en enhed, bør den fjernes straks.
Indholdsfortegnelse
Sådan fungerer notnullOSX efter infektion
Når det er installeret og givet fuld diskadgang, kan notnullOSX læse en stor del af de filer, der er gemt på systemet. Det opretholder kommunikationen med en fjernkommandoserver og downloader separate ondsindede moduler, der hver især er bygget til en specifik opgave.
Disse midlertidige komponenter kan bruges til at stjæle adgangskoder, kopiere filer, indsamle legitimationsoplysninger og udvide malwarens funktionalitet. Fordi moduler hentes efter behov, kan angribere løbende tilpasse infektionen efter den første kompromittering.
Funktioner til tyveri af browsere og personlige data
notnullOSX er stærkt målrettet data gemt i større webbrowsere. Forskellige moduler bruges til at udtrække specifikke kategorier af information fra Google Chrome, Mozilla Firefox og Safari.
Malwaren er i stand til at stjæle:
- Gemte adgangskoder, cookies, bogmærker og browserhistorik
- Noter gemt på enheden, Telegram Desktop-sessionsdata og op til 500 beskeder pr. samtale, inklusive vedhæftede filer og formatering
- SSH-nøgler, cloud-legitimationsoplysninger, API-tokens og konfigurationsfiler gemt i brugerens hjemmemappe
Disse stjålne oplysninger kan give kriminelle adgang til konti, servere, cloud-miljøer og udviklingsplatforme.
Kryptovaluta-tegnebøger er et primært mål
Et hovedformål med notnullOSX er tyveri af kryptovaluta. Malwaren søger efter data knyttet til populær wallet-software, herunder Atomic Wallet, Bitcoin Core, Electrum, Exodus og Wasabi Wallet.
Den scanner også browserbaserede wallet-udvidelser og kopierer gemte oplysninger, herunder krypterede seed-fraser. Selv krypterede wallet-data kan senere udnyttes gennem adgangskodeangreb eller yderligere social engineering.
App-udskiftningsfunktionen øger faren
I modsætning til mange traditionelle stealere kan notnullOSX erstatte legitime applikationer med ondsindede lookalikes. Den kan downloade en falsk version af en betroet applikation, såsom wallet-software, erstatte den originale app og bevare det samme ikon og udseende.
Når den forfalskede applikation startes, ser den normal ud, mens den i hemmelighed indsamler følsomme oplysninger, såsom sætninger til gendannelse af tegnebogen. Denne funktion kan aktiveres eller deaktiveres eksternt og bruges typisk kun, når den målrettede applikation allerede findes på offerets system.
Mere end en stjæler: Rottelignende adfærd
notnullOSX fungerer mere som en fjernadgangstrojaner (RAT) end en standard infostealer. Den opretholder en vedvarende forbindelse til sine operatører og tjekker regelmæssigt for kommandoer.
Dette gør det muligt for angribere at:
- Send nye instruktioner efter infektion
- Download og udfør yderligere skadelige moduler
- Opdater funktioner eller udrul ekstra nyttelast
- Bevar langsigtet kontrol over kompromitterede systemer
På grund af denne fleksibilitet kan infektioner udvikle sig over tid og blive betydeligt mere skadelige.
Hvordan notnullOSX distribueres
Malwaren spredes primært gennem social engineering-angreb, der manipulerer brugerne til selv at installere den. Ofrene kan blive vist falske problemer, såsom en advarsel om et "beskyttet Google-dokument" eller en meddelelse om et beskadiget macOS-program. De bliver derefter instrueret i at løse problemet gennem specifikke trin, en taktik, der er almindeligt kendt som ClickFix .
Disse trin involverer ofte at køre kommandoer i Terminal eller åbne ondsindede DMG-filer. notnullOSX er også blevet distribueret via falske softwarewebsteder, svigagtige downloadportaler, kaprede YouTube-kanaler og falske applikationer såsom tapetværktøjer som 'WallSpace.app'.
Nogle ofre bliver endda guidet gennem manuel aktivering af fuld diskadgang, hvilket giver malwaren bred indsigt i enheden.
Endelig sikkerhedsvurdering
notnullOSX er en yderst farlig macOS-trussel, der er i stand til at stjæle browserdata, kryptovalutaaktiver, privat kommunikation, godkendelsesmateriale og udviklerlegitimationsoplysninger. Dens modulære design, vedvarende fjernbetjening og funktioner til udskiftning af applikationer gør den særligt alvorlig. Ofre kan blive udsat for kontokompromittering, identitetstyveri, økonomisk tab og yderligere malware-implementering. Øjeblikkelig fjernelse og en fuldstændig nulstilling af legitimationsoplysninger anbefales kraftigt efter opdagelse.
