notnullOSX macOS Malware

notnullOSX היא משפחת תוכנות זדוניות מתוחכמות לגניבת מידע שנכתבה בשפת התכנות Go. היא נועדה למקד משתמשי macOS, עם דגש חזק על גניבת מידע קריפטוגרפי ונתונים רגישים אחרים. גורמי איום מפיצים אותה לרוב באמצעות קמפיינים מטעים של ClickFix וקבצי התקנה של DMG טרויאניים. אם מתגלה על כל מכשיר, יש להסירה ללא דיחוי.

כיצד פועל notnullOSX לאחר הדבקה

לאחר ההתקנה וקיבלת גישה מלאה לדיסק, notnullOSX יכול לקרוא חלק גדול מהקבצים המאוחסנים במערכת. הוא שומר על תקשורת עם שרת פקודות מרוחק ומוריד מודולים זדוניים נפרדים, שכל אחד מהם בנוי למשימה ספציפית.

רכיבים זמניים אלה יכולים לשמש לגניבת סיסמאות, העתקת קבצים, איסוף אישורים והרחבת הפונקציונליות של התוכנה הזדונית. מכיוון שהמודולים נשלפים לפי הצורך, תוקפים יכולים להתאים את הזיהום באופן רציף לאחר הפגיעה הראשונית.

יכולות גניבת דפדפן ונתונים אישיים

notnullOSX מתמקד במידה רבה בנתונים המאוחסנים בדפדפני אינטרנט עיקריים. מודולים שונים משמשים לחילוץ קטגוריות ספציפיות של מידע מ-Google Chrome, Mozilla Firefox ו-Safari.

התוכנה הזדונית מסוגלת לגנוב:

• סיסמאות, קובצי Cookie, סימניות והיסטוריית גלישה שנשמרו
• הערות המאוחסנות במכשיר, נתוני סשן של טלגרם שולחן עבודה ועד 500 הודעות לכל שיחה, כולל קבצים מצורפים ועיצוב
• מפתחות SSH, אישורי ענן, אסימוני API וקבצי תצורה השמורים בתיקיית הבית של המשתמש

מידע גנוב זה יכול לספק לפושעים גישה לחשבונות, שרתים, סביבות ענן ופלטפורמות פיתוח.

ארנקי קריפטו הם מטרה עיקרית

מטרה עיקרית של notnullOSX היא גניבת מטבעות קריפטוגרפיים. הנוזקה מחפשת נתונים המקושרים לתוכנות ארנק פופולריות, כולל Atomic Wallet, Bitcoin Core, Electrum, Exodus ו-Wasabi Wallet.

הוא גם סורק הרחבות ארנק מבוססות דפדפן ומעתיק מידע מאוחסן, כולל ביטויי זרע מוצפנים. אפילו נתוני ארנק מוצפנים עלולים להיות מנוצלים מאוחר יותר באמצעות מתקפות סיסמה או הנדסה חברתית נוספת.

תכונת החלפת האפליקציות מגבירה את הסכנה

בניגוד להרבה תוכנות גניבה מסורתיות, notnullOSX יכול להחליף אפליקציות לגיטימיות באפליקציות דומות זדוניות. הוא עשוי להוריד גרסה מזויפת של אפליקציה מהימנה, כגון תוכנת ארנק, להחליף את האפליקציה המקורית ולשמור על אותו סמל ומראה.

כאשר האפליקציה המזויפת מופעלת, היא נראית רגילה תוך שהיא אוספת בסתר מידע רגיש כגון ביטויי שחזור ארנק. ניתן להפעיל או להשבית תכונה זו מרחוק והיא משמשת בדרך כלל רק כאשר האפליקציה הממוקדת כבר קיימת במערכת של הקורבן.

יותר מגנב: התנהגות דמוית חולדה

notnullOSX מתפקד יותר כמו טרויאני לגישה מרחוק (RAT) מאשר גונב מידע סטנדרטי. הוא שומר על קשר מתמיד עם המפעילים שלו ובודק באופן קבוע אם יש פקודות.

זה מאפשר לתוקפים:

• שליחת הוראות חדשות לאחר ההדבקה
• הורד והפעל מודולים זדוניים נוספים
• עדכון יכולות או פריסת מטענים נוספים
• שמירה על שליטה ארוכת טווח על מערכות פגועות

בגלל גמישות זו, זיהומים יכולים להתפתח עם הזמן ולהפוך למזיקים משמעותית יותר.

כיצד מופץ notnullOSX

התוכנה הזדונית מופצת בעיקר באמצעות התקפות הנדסה חברתית שמפעילות משתמשים כדי שיתקינו אותה בעצמם. לקורבנות עשויות להיות מוצגות בעיות מזויפות, כגון אזהרה של 'מסמך גוגל מוגן' או הודעת יישום macOS פגום. לאחר מכן הם מקבלים הנחיה לתקן את הבעיה באמצעות שלבים ספציפיים, טקטיקה הידועה בשם ClickFix .

שלבים אלה כוללים לעתים קרובות הפעלת פקודות בטרמינל או פתיחת קבצי DMG זדוניים. ‏notnullOSX הופץ גם דרך אתרי תוכנה מזויפים, פורטלי הורדה הונאה, ערוצי YouTube שנחטפו ויישומים מזויפים כגון כלי טפטים כמו 'WallSpace.app'.

חלק מהקורבנות אף מקבלים הדרכה כיצד להפעיל באופן ידני את Full Disk Access, מה שנותן לתוכנה הזדונית נראות רחבה של המכשיר.

הערכת אבטחה סופית

notnullOSX הוא איום מסוכן ביותר ב-macOS המסוגל לגנוב נתוני דפדפן, נכסי מטבעות קריפטוגרפיים, תקשורת פרטית, חומרי אימות ופרטי מפתחים. העיצוב המודולרי שלו, השלט הרחוק המתמיד ותכונות החלפת היישומים הופכים אותו לחמור במיוחד. קורבנות עלולים להתמודד עם פריצה לחשבון, גניבת זהות, הפסד כספי ופריסת תוכנות זדוניות נוספות. מומלץ מאוד לבצע הסרה מיידית ותהליך איפוס מלא של פרטי הגישה לאחר הגילוי.