NotnullOSX macOS kártevő

Mezo -ra Mac Malware, Lopók-ben

Fordítás ide:

A notnullOSX egy kifinomult, információkat ellopó kártevőcsalád, amelyet a Go programozási nyelven írtak. A macOS-felhasználók megcélzására tervezték, különös tekintettel a kriptovaluták és más érzékeny adatok ellopására. A kibertámadások kibernetikus szereplői általában megtévesztő ClickFix kampányokon és trójai vírussal fertőzött DMG telepítőfájlokon keresztül terjesztik. Ha bármely eszközön észlelik, haladéktalanul el kell távolítani.

Tartalomjegyzék

Hogyan működik a notnullOSX fertőzés után?

A telepítés és a teljes lemezhozzáférés megadása után a notnullOSX a rendszeren tárolt fájlok nagy részét képes olvasni. Kommunikációt tart fenn egy távoli parancskiszolgálóval, és különálló rosszindulatú modulokat tölt le, amelyek mindegyike egy adott feladathoz készült.

Ezek az ideiglenes komponensek jelszavak ellopására, fájlok másolására, hitelesítő adatok gyűjtésére és a kártevő funkcionalitásának bővítésére használhatók. Mivel a modulokat szükség szerint tölti le a rendszer, a támadók a kezdeti kompromittálás után folyamatosan adaptálhatják a fertőzést.

Böngésző és személyes adatok ellopásának képességei

A notnullOSX erősen célozza a nagyobb webböngészőkben tárolt adatokat. Különböző modulokat használ bizonyos kategóriájú információk kinyerésére a Google Chrome-ból, a Mozilla Firefoxból és a Safariból.

A rosszindulatú program képes ellopni:

Mentett jelszavak, sütik, könyvjelzők és böngészési előzmények
Az eszközön tárolt jegyzetek, Telegram Desktop munkamenet-adatok és beszélgetésenként legfeljebb 500 üzenet, beleértve a mellékleteket és a formázást is
SSH-kulcsok, felhőalapú hitelesítő adatok, API-tokenek és konfigurációs fájlok, amelyek a felhasználó saját mappájába vannak mentve

Ezek az ellopott információk hozzáférést biztosíthatnak a bűnözőknek fiókokhoz, szerverekhez, felhőalapú környezetekhez és fejlesztői platformokhoz.

A kriptovaluta tárcák elsődleges célpontok

A notnullOSX egyik fő célja a kriptovaluta-lopás. A rosszindulatú program népszerű pénztárcaszoftverekhez, többek között az Atomic Wallethez, a Bitcoin Core-hoz, az Electrumhoz, az Exodushoz és a Wasabi Wallethez kapcsolódó adatokat keres.

Emellett böngészőalapú pénztárca-bővítményeket is átvizsgál, és lemásolja a tárolt információkat, beleértve a titkosított kezdőmondatokat is. Még a titkosított pénztárcaadatok is később jelszótámadásokkal vagy további társadalmi manipulációval kihasználhatók.

Az alkalmazáscsere funkció növeli a veszélyt

Sok hagyományos alkalmazáslopással ellentétben a notnullOSX képes lecserélni a legitim alkalmazásokat rosszindulatú hasonló verziókra. Letölthet egy megbízható alkalmazás, például egy pénztárca szoftver hamis verzióját, helyettesítheti az eredeti alkalmazást, és megőrizheti ugyanazt az ikont és megjelenést.

Indításkor a hamisított alkalmazás normálisnak tűnik, miközben titokban bizalmas információkat, például pénztárca-helyreállító kifejezéseket gyűjt. Ez a funkció távolról engedélyezhető vagy letiltható, és általában csak akkor használják, ha a célzott alkalmazás már létezik az áldozat rendszerén.

Több mint lopó: patkányszerű viselkedés

A notnullOSX inkább egy távoli hozzáférésű trójaihoz (RAT) hasonlít, mint egy hagyományos információlopóhoz. Állandó kapcsolatot tart fenn az operátoraival, és rendszeresen ellenőrzi a parancsokat.

Ez lehetővé teszi a támadók számára, hogy:

Új utasítások küldése a fertőzés után
További rosszindulatú modulok letöltése és futtatása
Frissítse a képességeket vagy telepítsen további hasznos adatokat
Hosszú távú ellenőrzés fenntartása a feltört rendszerek felett

E rugalmasság miatt a fertőzések idővel fejlődhetnek, és jelentősen károsabbá válhatnak.

Hogyan terjed a notnullOSX

A rosszindulatú program elsősorban szociális manipulációval terjed, amelynek során a felhasználókat manipulálva telepítik a programot. Az áldozatoknak hamis problémákat jeleníthetnek meg, például egy „védett Google Dokumentum” figyelmeztetést vagy egy sérült macOS alkalmazásra vonatkozó üzenetet. Ezután utasítást kapnak a probléma megoldására meghatározott lépéseken keresztül, ezt a taktikát széles körben ClickFix néven ismerik.

Ezek a lépések gyakran parancsok futtatását jelentik a Terminálban, vagy rosszindulatú DMG fájlok megnyitását. A notnullOSX-et hamis szoftverwebhelyeken, csalárd letöltési portálokon, eltérített YouTube-csatornákon és hamis alkalmazásokon, például a „WallSpace.app”-hoz hasonló háttérképkészítő eszközökön keresztül is terjesztették.

Néhány áldozatot még a teljes lemezhozzáférés manuális engedélyezésén is keresztülvezetnek, így a kártevő széleskörű rálátást biztosít az eszközre.

Végső biztonsági értékelés

A notnullOSX egy rendkívül veszélyes macOS fenyegetés, amely képes böngészési adatokat, kriptovalutákat, privát kommunikációt, hitelesítési anyagokat és fejlesztői hitelesítő adatokat ellopni. Moduláris felépítése, állandó távvezérlése és alkalmazáscsere-funkciói különösen súlyossá teszik. Az áldozatok fiókfeltöréssel, személyazonosság-lopással, pénzügyi veszteséggel és további rosszindulatú programok telepítésével szembesülhetnek. Az észlelést követően azonnali eltávolítás és teljes hitelesítő adatok visszaállítása javasolt.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

NotnullOSX macOS kártevő

Hogyan működik a notnullOSX fertőzés után?

Böngésző és személyes adatok ellopásának képességei

A kriptovaluta tárcák elsődleges célpontok

Az alkalmazáscsere funkció növeli a veszélyt

Több mint lopó: patkányszerű viselkedés

Hogyan terjed a notnullOSX

Végső biztonsági értékelés

Küldje el megjegyzését

Felkapott

Orionnero.co.in

Pocamish.com

Glamconnectnetwork.com

Legnézettebb

Fuq.com

Eporner.com

XHAMSTER Ransomware