Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma NotnullOSX macOS-haittaohjelma

NotnullOSX macOS-haittaohjelma

Vuonna Mezo vuonna Mac-haittaohjelma, Varastajat
Käännä:

notnullOSX on hienostunut, tietoja varastava haittaohjelmaperhe, joka on kirjoitettu Go-ohjelmointikielellä. Se on suunniteltu kohdistamaan hyökkäyksiä macOS-käyttäjiin, ja sen vahva painopiste on kryptovaluutan ja muiden arkaluonteisten tietojen varastamisessa. Uhkatoimijat levittävät sitä yleensä harhaanjohtavien ClickFix-kampanjoiden ja troijalaisten DMG-asennustiedostojen kautta. Jos se havaitaan millä tahansa laitteella, se tulee poistaa viipymättä.

Miten notnullOSX toimii tartunnan jälkeen

Kun notnullOSX on asennettu ja sille on myönnetty täydet levyn käyttöoikeudet, se voi lukea suuren osan järjestelmään tallennetuista tiedostoista. Se ylläpitää yhteyttä etäkomentopalvelimeen ja lataa erillisiä haitallisia moduuleja, joista jokainen on rakennettu tiettyä tehtävää varten.

Näitä väliaikaisia komponentteja voidaan käyttää salasanojen varastamiseen, tiedostojen kopioimiseen, tunnistetietojen keräämiseen ja haittaohjelman toiminnallisuuden laajentamiseen. Koska moduuleja noudetaan tarvittaessa, hyökkääjät voivat jatkuvasti mukauttaa tartuntaa alkuperäisen vaarantumisen jälkeen.

Selain- ja henkilötietojen varkausominaisuudet

notnullOSX kohdistaa toimintansa vahvasti tärkeimpiin verkkoselaimiin tallennettuun dataan. Erilaisia moduuleja käytetään tiettyjen tietoluokkien poimimiseen Google Chromesta, Mozilla Firefoxista ja Safarista.

Haittaohjelma pystyy varastamaan:

  • Tallennetut salasanat, evästeet, kirjanmerkit ja selaushistoria
  • Laitteelle tallennetut muistiinpanot, Telegram Desktop -istuntotiedot ja jopa 500 viestiä keskustelua kohden, mukaan lukien liitteet ja muotoilut
  • SSH-avaimet, pilvipalvelun tunnistetiedot, API-tunnukset ja määritystiedostot tallennettuna käyttäjän kotikansioon

Nämä varastetut tiedot voivat antaa rikollisille pääsyn tileille, palvelimille, pilviympäristöihin ja kehitysalustoille.

Kryptovaluuttalompakot ovat ensisijainen kohde

notnullOSX:n päätavoitteena on kryptovaluuttojen varastaminen. Haittaohjelma etsii tietoja, jotka liittyvät suosittuihin lompakko-ohjelmistoihin, kuten Atomic Wallet, Bitcoin Core, Electrum, Exodus ja Wasabi Wallet.

Se skannaa myös selainpohjaisia lompakkolaajennuksia ja kopioi tallennetut tiedot, mukaan lukien salatut siemenlausekkeet. Jopa salattuja lompakkotietoja voidaan myöhemmin hyödyntää salasanahyökkäysten tai muun sosiaalisen manipuloinnin avulla.

Sovelluksen korvaava ominaisuus lisää vaaraa

Toisin kuin monet perinteiset varastavat sovellukset, notnullOSX voi korvata lailliset sovellukset haitallisilla kaksoisversioilla. Se voi ladata väärennetyn version luotettavasta sovelluksesta, kuten lompakko-ohjelmistosta, korvata alkuperäisen sovelluksen ja säilyttää saman kuvakkeen ja ulkoasun.

Käynnistyksen yhteydessä väärennetty sovellus näyttää normaalilta, mutta se kerää salaa arkaluonteisia tietoja, kuten lompakon palautuslausekkeita. Tämä ominaisuus voidaan ottaa käyttöön tai poistaa käytöstä etänä, ja sitä käytetään yleensä vain, kun kohdesovellus on jo uhrin järjestelmässä.

Enemmän kuin varastaja: ROTAN kaltainen käyttäytyminen

notnullOSX toimii enemmän kuin etäkäyttötroijalainen (RAT) kuin tavallinen tiedonvaras. Se ylläpitää pysyvää yhteyttä operaattoreihinsa ja tarkistaa säännöllisesti komentoja.

Tämä mahdollistaa hyökkääjille:

  • Lähetä uudet ohjeet tartunnan jälkeen
  • Lataa ja suorita lisää haitallisia moduuleja
  • Päivitä ominaisuuksia tai ota käyttöön lisähyötykuormia
  • Säilytä pitkäaikainen hallinta vaarantuneista järjestelmistä

Tämän joustavuuden vuoksi infektiot voivat kehittyä ajan myötä ja tulla huomattavasti vahingollisemmiksi.

Miten notnullOSX:ää jaellaan

Haittaohjelma leviää pääasiassa sosiaalisen manipuloinnin hyökkäysten kautta, joissa käyttäjiä manipuloidaan asentamaan se itse. Uhreille voidaan näyttää tekaistuja ongelmia, kuten "suojattu Google-dokumentti" -varoitus tai vioittuneesta macOS-sovelluksesta kertova viesti. Sitten heitä pyydetään korjaamaan ongelma tiettyjen vaiheiden avulla, taktiikka tunnetaan laajalti nimellä ClickFix .

Näihin vaiheisiin liittyy usein komentojen suorittaminen Pääte-sovelluksessa tai haitallisten DMG-tiedostojen avaaminen. notnullOSX:ää on levitetty myös väärennettyjen ohjelmistosivustojen, vilpillisten latausportaalien, kaapattujen YouTube-kanavien ja väärennettyjen sovellusten, kuten taustakuvatyökalujen, kuten 'WallSpace.app', kautta.

Joillekin uhreille jopa annetaan manuaalinen opastus täyden levyn käytön käyttöönottoon, mikä antaa haittaohjelmalle laajan näkyvyyden laitteeseen.

Lopputurvallisuusarviointi

notnullOSX on erittäin vaarallinen macOS-uhka, joka pystyy varastamaan selaintietoja, kryptovaluuttoja, yksityistä viestintää, todennusmateriaaleja ja kehittäjän tunnistetietoja. Sen modulaarinen rakenne, pysyvä etähallinta ja sovellusten korvausominaisuudet tekevät siitä erityisen vakavan. Uhrien tilejä voidaan vaarantaa, heidän identiteettinsä voi varastaa, he voivat menettää rahaa tai heidän tietonsa voivat muuttua haittaohjelmien leviämisen uhreiksi. Havaittamisen jälkeen suositellaan välitöntä poistamista ja tunnistetietojen täydellistä nollausta.

 

Trendaavat

Eniten katsottu

Ladataan...