Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Mac κακόβουλο λογισμικό macOS notnullOSX

κακόβουλο λογισμικό macOS notnullOSX

Μέχρι το Mezo το Κακόβουλο λογισμικό Mac, Κλέφτες
Μετάφραση σε:

Το notnullOSX είναι μια εξελιγμένη οικογένεια κακόβουλου λογισμικού κλοπής πληροφοριών, γραμμένη στη γλώσσα προγραμματισμού Go. Έχει σχεδιαστεί για να στοχεύει χρήστες macOS, με έντονη έμφαση στην κλοπή κρυπτονομισμάτων και άλλων ευαίσθητων δεδομένων. Οι απειλητικοί παράγοντες το διανέμουν συνήθως μέσω παραπλανητικών καμπανιών ClickFix και αρχείων εγκατάστασης DMG που έχουν μολυνθεί με trojan. Εάν εντοπιστεί σε οποιαδήποτε συσκευή, θα πρέπει να καταργηθεί χωρίς καθυστέρηση.

Πώς λειτουργεί το notnullOSX μετά τη μόλυνση

Μόλις εγκατασταθεί και του παραχωρηθεί πλήρης πρόσβαση στον δίσκο, το notnullOSX μπορεί να διαβάσει ένα μεγάλο μέρος των αρχείων που είναι αποθηκευμένα στο σύστημα. Διατηρεί επικοινωνία με έναν απομακρυσμένο διακομιστή εντολών και κατεβάζει ξεχωριστές κακόβουλες μονάδες, καθεμία από τις οποίες έχει δημιουργηθεί για μια συγκεκριμένη εργασία.

Αυτά τα προσωρινά στοιχεία μπορούν να χρησιμοποιηθούν για την κλοπή κωδικών πρόσβασης, την αντιγραφή αρχείων, τη συλλογή διαπιστευτηρίων και την επέκταση της λειτουργικότητας του κακόβουλου λογισμικού. Επειδή οι ενότητες ανακτώνται ανάλογα με τις ανάγκες, οι εισβολείς μπορούν να προσαρμόζουν συνεχώς τη μόλυνση μετά την αρχική παραβίαση.

Δυνατότητες κλοπής δεδομένων προγράμματος περιήγησης και προσωπικών δεδομένων

Το notnullOSX στοχεύει σε μεγάλο βαθμό δεδομένα που είναι αποθηκευμένα σε μεγάλα προγράμματα περιήγησης ιστού. Χρησιμοποιούνται διαφορετικές ενότητες για την εξαγωγή συγκεκριμένων κατηγοριών πληροφοριών από το Google Chrome, το Mozilla Firefox και το Safari.

Το κακόβουλο λογισμικό είναι ικανό να κλέψει:

  • Αποθηκευμένοι κωδικοί πρόσβασης, cookies, σελιδοδείκτες και ιστορικό περιήγησης
  • Σημειώσεις αποθηκευμένες στη συσκευή, δεδομένα συνεδρίας Telegram Desktop και έως 500 μηνύματα ανά συνομιλία, συμπεριλαμβανομένων των συνημμένων και της μορφοποίησης
  • Κλειδιά SSH, διαπιστευτήρια cloud, διακριτικά API και αρχεία διαμόρφωσης που αποθηκεύονται στον αρχικό φάκελο του χρήστη

Αυτές οι κλεμμένες πληροφορίες μπορούν να παρέχουν στους εγκληματίες πρόσβαση σε λογαριασμούς, διακομιστές, περιβάλλοντα cloud και πλατφόρμες ανάπτυξης.

Τα πορτοφόλια κρυπτονομισμάτων αποτελούν πρωταρχικό στόχο

Ένας σημαντικός στόχος του notnullOSX είναι η κλοπή κρυπτονομισμάτων. Το κακόβουλο λογισμικό αναζητά δεδομένα που συνδέονται με δημοφιλές λογισμικό πορτοφολιών, όπως τα Atomic Wallet, Bitcoin Core, Electrum, Exodus και Wasabi Wallet.

Επίσης, σαρώνει επεκτάσεις πορτοφολιού που βασίζονται σε προγράμματα περιήγησης και αντιγράφει αποθηκευμένες πληροφορίες, συμπεριλαμβανομένων κρυπτογραφημένων φράσεων seed. Ακόμη και τα κρυπτογραφημένα δεδομένα πορτοφολιού ενδέχεται αργότερα να αξιοποιηθούν μέσω επιθέσεων με κωδικό πρόσβασης ή περαιτέρω κοινωνικής μηχανικής.

Η λειτουργία αντικατάστασης εφαρμογών αυξάνει τον κίνδυνο

Σε αντίθεση με πολλά παραδοσιακά προγράμματα κλοπής, το notnullOSX μπορεί να αντικαταστήσει νόμιμες εφαρμογές με κακόβουλες παρόμοιες εφαρμογές. Μπορεί να κατεβάσει μια ψεύτικη έκδοση μιας αξιόπιστης εφαρμογής, όπως λογισμικό πορτοφολιού, να αντικαταστήσει την αρχική εφαρμογή και να διατηρήσει το ίδιο εικονίδιο και εμφάνιση.

Κατά την εκκίνηση, η πλαστή εφαρμογή εμφανίζεται κανονικά, ενώ παράλληλα συλλέγει κρυφά ευαίσθητες πληροφορίες, όπως φράσεις ανάκτησης πορτοφολιού. Αυτή η λειτουργία μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί εξ αποστάσεως και συνήθως χρησιμοποιείται μόνο όταν η στοχευμένη εφαρμογή υπάρχει ήδη στο σύστημα του θύματος.

Περισσότερο από ένας κλέφτης: Συμπεριφορά σαν RAT

Το notnullOSX λειτουργεί περισσότερο σαν ένα Remote Access Trojan (RAT) παρά σαν ένα τυπικό infostealer. Διατηρεί μια μόνιμη σύνδεση με τους χειριστές του και ελέγχει τακτικά για εντολές.

Αυτό επιτρέπει στους εισβολείς να:

  • Αποστολή νέων οδηγιών μετά τη μόλυνση
  • Λήψη και εκτέλεση πρόσθετων κακόβουλων λειτουργικών μονάδων
  • Ενημερώστε τις δυνατότητες ή αναπτύξτε επιπλέον ωφέλιμα φορτία
  • Διατήρηση μακροπρόθεσμου ελέγχου σε παραβιασμένα συστήματα

Λόγω αυτής της ευελιξίας, οι λοιμώξεις μπορούν να εξελιχθούν με την πάροδο του χρόνου και να γίνουν σημαντικά πιο επιβλαβείς.

Πώς διανέμεται το notnullOSX

Το κακόβουλο λογισμικό εξαπλώνεται κυρίως μέσω επιθέσεων κοινωνικής μηχανικής που χειραγωγούν τους χρήστες ώστε να το εγκαταστήσουν οι ίδιοι. Τα θύματα ενδέχεται να εμφανίζουν ψεύτικα προβλήματα, όπως μια προειδοποίηση «προστατευμένο έγγραφο Google» ή ένα μήνυμα για μια κατεστραμμένη εφαρμογή macOS. Στη συνέχεια, τους δίνονται οδηγίες να διορθώσουν το πρόβλημα μέσω συγκεκριμένων βημάτων, μια τακτική ευρέως γνωστή ως ClickFix .

Αυτά τα βήματα συχνά περιλαμβάνουν την εκτέλεση εντολών στο Terminal ή το άνοιγμα κακόβουλων αρχείων DMG. Το notnullOSX έχει επίσης διανεμηθεί μέσω ψεύτικων ιστότοπων λογισμικού, δόλιων πυλών λήψης, παραβιασμένων καναλιών YouTube και ψεύτικων εφαρμογών όπως εργαλεία ταπετσαρίας όπως το 'WallSpace.app'.

Ορισμένα θύματα καθοδηγούνται ακόμη και στην χειροκίνητη ενεργοποίηση της πλήρους πρόσβασης στον δίσκο, δίνοντας στο κακόβουλο λογισμικό ευρεία ορατότητα στη συσκευή.

Τελική Αξιολόγηση Ασφάλειας

Το notnullOSX είναι μια εξαιρετικά επικίνδυνη απειλή macOS ικανή να κλέψει δεδομένα προγράμματος περιήγησης, στοιχεία κρυπτονομισμάτων, ιδιωτικές επικοινωνίες, υλικό ελέγχου ταυτότητας και διαπιστευτήρια προγραμματιστή. Ο αρθρωτός σχεδιασμός του, ο μόνιμος τηλεχειρισμός και οι δυνατότητες αντικατάστασης εφαρμογών το καθιστούν ιδιαίτερα σοβαρό. Τα θύματα ενδέχεται να αντιμετωπίσουν παραβίαση λογαριασμού, κλοπή ταυτότητας, οικονομική απώλεια και περαιτέρω ανάπτυξη κακόβουλου λογισμικού. Συνιστάται ανεπιφύλακτα η άμεση αφαίρεση και η πλήρης διαδικασία επαναφοράς διαπιστευτηρίων μετά την ανίχνευση.

 

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...