Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Maci pahavara NotnullOSX macOS-i pahavara

NotnullOSX macOS-i pahavara

Aastaks Mezo aastal Maci pahavara, Varastajad
Tõlgi:

notnullOSX on keerukas infovarastus pahavarade perekond, mis on kirjutatud Go programmeerimiskeeles. See on loodud macOS-i kasutajate sihtimiseks, keskendudes krüptovaluuta ja muude tundlike andmete varastamisele. Ohutajad levitavad seda tavaliselt petlike ClickFix-kampaaniate ja troojalaste DMG-installatsioonifailide kaudu. Kui see mis tahes seadmes tuvastatakse, tuleks see viivitamatult eemaldada.

Kuidas notnullOSX pärast nakatumist töötab

Kui notnullOSX on installitud ja sellele on antud täielik kettale juurdepääs, saab see lugeda suurt osa süsteemis talletatud failidest. See hoiab ühendust kaugkäskluste serveriga ja laadib alla eraldi pahatahtlikke mooduleid, millest igaüks on loodud kindla ülesande jaoks.

Neid ajutisi komponente saab kasutada paroolide varastamiseks, failide kopeerimiseks, volituste kogumiseks ja pahavara funktsionaalsuse laiendamiseks. Kuna mooduleid laaditakse vastavalt vajadusele, saavad ründajad pärast esialgset ohtu seadmist infektsiooni pidevalt kohandada.

Brauseri ja isikuandmete varguse võimalused

notnullOSX sihib peamiselt suuremates veebibrauserites talletatud andmeid. Google Chrome'ist, Mozilla Firefoxist ja Safarist teatud kategooriate teabe hankimiseks kasutatakse erinevaid mooduleid.

Pahavara on võimeline varastama:

  • Salvestatud paroolid, küpsised, järjehoidjad ja sirvimisajalugu
  • Seadmesse salvestatud märkmed, Telegram Desktopi seansiandmed ja kuni 500 sõnumit vestluse kohta, sh manused ja vorming
  • Kasutaja kodukausta salvestatud SSH-võtmed, pilveteenuse identimisandmed, API-tokenid ja konfiguratsioonifailid

See varastatud teave võib anda kurjategijatele juurdepääsu kontodele, serveritele, pilvekeskkondadele ja arendusplatvormidele.

Krüptovaluuta rahakotid on peamine sihtmärk

notnullOSX-i peamine eesmärk on krüptovaluuta varastamine. Pahavara otsib andmeid, mis on seotud populaarsete rahakotitarkvaradega, sealhulgas Atomic Wallet, Bitcoin Core, Electrum, Exodus ja Wasabi Wallet.

Samuti skannib see brauseripõhiseid rahakoti laiendusi ja kopeerib salvestatud teabe, sealhulgas krüpteeritud algfraasid. Isegi krüpteeritud rahakoti andmeid võidakse hiljem ära kasutada paroolirünnakute või edasise sotsiaalse manipuleerimise abil.

Rakenduse asendamise funktsioon suurendab ohtu

Erinevalt paljudest traditsioonilistest varastajatest suudab notnullOSX asendada legitiimsed rakendused pahatahtlike sarnastega. See võib alla laadida usaldusväärse rakenduse, näiteks rahakotitarkvara, võltsitud versiooni, asendada algse rakenduse ning säilitada sama ikooni ja välimuse.

Käivitamisel tundub võltsitud rakendus tavaline, samal ajal kui see salaja tundlikku teavet, näiteks rahakoti taastamise fraase, kogub. Seda funktsiooni saab eemalt lubada või keelata ning seda kasutatakse tavaliselt ainult siis, kui sihtrakendus on ohvri süsteemis juba olemas.

Rohkem kui varas: rotilaadne käitumine

notnullOSX toimib pigem nagu kaugjuurdepääsuga troojalane (RAT) kui tavaline infovaras. See hoiab oma operaatoritega püsivat ühendust ja kontrollib regulaarselt käskude olemasolu.

See võimaldab ründajatel:

  • Saatke pärast nakatumist uued juhised
  • Laadige alla ja käivitage täiendavaid pahatahtlikke mooduleid
  • Värskenda võimalusi või juuruta lisakoormusi
  • Säilita pikaajaline kontroll ohustatud süsteemide üle

Selle paindlikkuse tõttu võivad infektsioonid aja jooksul areneda ja muutuda oluliselt kahjulikumaks.

Kuidas notnullOSX-i levitatakse

Pahavara levitatakse peamiselt sotsiaalse manipuleerimise rünnakute kaudu, mis manipuleerivad kasutajaid selle ise installima. Ohvritele võidakse näidata võltsprobleeme, näiteks hoiatust „kaitstud Google Doc” või kahjustatud macOS-rakenduse teadet. Seejärel juhendatakse neid probleemi lahendama konkreetsete sammude abil – taktika, mida tuntakse laialdaselt kui ClickFix .

Need sammud hõlmavad sageli käskude käivitamist terminalis või pahatahtlike DMG-failide avamist. notnullOSX-i on levitatud ka võltsitud tarkvaraveebisaitide, petturlike allalaadimisportaalide, kaaperdatud YouTube'i kanalite ja võltsitud rakenduste, näiteks tapeeditööriistade (nt „WallSpace.app”) kaudu.

Mõnda ohvrit juhendatakse isegi täieliku kettale juurdepääsu käsitsi lubamisel, mis annab pahavarale seadmes laia nähtavuse.

Lõplik turvahinnang

notnullOSX on äärmiselt ohtlik macOS-i oht, mis on võimeline varastama brauseriandmeid, krüptovaluutavarasid, privaatset suhtlust, autentimismaterjale ja arendaja volitusi. Selle modulaarne disain, püsiv kaugjuhtimine ja rakenduste asendamise funktsioonid muudavad selle eriti tõsiseks. Ohvrid võivad silmitsi seista kontode rikkumise, identiteedivarguse, rahalise kahju ja edasise pahavara levitamisega. Pärast tuvastamist on tungivalt soovitatav see kohe eemaldada ja volituste lähtestamise protsess läbi viia.

 

Trendikas

Enim vaadatud

Laadimine...