Preventivo sconto multi-licenza
Database delle minacce Malware per Mac Malware notnullOSX macOS

Malware notnullOSX macOS

Entro Mezo nel Malware per Mac, Ladri
Traduci in:

notnullOSX è una sofisticata famiglia di malware per il furto di informazioni, scritta nel linguaggio di programmazione Go. È progettata per colpire gli utenti macOS, con una particolare attenzione al furto di criptovalute e altri dati sensibili. Gli autori della minaccia la distribuiscono comunemente tramite campagne ClickFix ingannevoli e file di installazione DMG infetti da trojan. Se rilevata su un dispositivo, deve essere rimossa senza indugio.

Come funziona notnullOSX dopo un’infezione

Una volta installato e ottenuto l'accesso completo al disco, notnullOSX è in grado di leggere una grande quantità di file memorizzati nel sistema. Mantiene una comunicazione con un server di comando remoto e scarica moduli dannosi separati, ciascuno progettato per uno scopo specifico.

Questi componenti temporanei possono essere utilizzati per rubare password, copiare file, raccogliere credenziali ed espandere le funzionalità del malware. Poiché i moduli vengono scaricati solo quando necessario, gli aggressori possono adattare continuamente l'infezione dopo la compromissione iniziale.

Funzionalità del browser per il furto di dati personali

notnullOSX si concentra in modo particolare sull'estrazione di dati dai principali browser web. Vengono utilizzati diversi moduli per estrarre specifiche categorie di informazioni da Google Chrome, Mozilla Firefox e Safari.

Il malware è in grado di rubare:

  • Password salvate, cookie, segnalibri e cronologia di navigazione
  • Note memorizzate sul dispositivo, dati della sessione di Telegram Desktop e fino a 500 messaggi per conversazione, inclusi allegati e formattazione.
  • Chiavi SSH, credenziali cloud, token API e file di configurazione salvati nella cartella home dell'utente

Queste informazioni rubate possono fornire ai criminali l'accesso ad account, server, ambienti cloud e piattaforme di sviluppo.

I portafogli di criptovalute sono un obiettivo primario

Uno degli obiettivi principali di notnullOSX è il furto di criptovalute. Il malware cerca dati collegati ai software di portafoglio più diffusi, tra cui Atomic Wallet, Bitcoin Core, Electrum, Exodus e Wasabi Wallet.

Inoltre, analizza le estensioni del portafoglio basate su browser e copia le informazioni memorizzate, comprese le frasi di recupero crittografate. Anche i dati del portafoglio crittografati potrebbero essere successivamente sfruttati tramite attacchi alle password o ulteriori tecniche di ingegneria sociale.

La funzione di sostituzione dell’app aumenta il pericolo

A differenza di molti malware tradizionali, notnullOSX può sostituire applicazioni legittime con versioni dannose simili. Può scaricare una versione falsa di un'applicazione fidata, come un software per portafogli digitali, sostituire l'app originale e mantenerne l'icona e l'aspetto.

Una volta avviata, l'applicazione contraffatta appare normale, ma nel frattempo raccoglie segretamente informazioni sensibili come le frasi di recupero del portafoglio. Questa funzionalità può essere attivata o disattivata da remoto e viene generalmente utilizzata solo quando l'applicazione bersaglio è già presente sul sistema della vittima.

Più che un ladro: un comportamento da topo

notnullOSX funziona più come un Trojan di accesso remoto (RAT) che come un normale programma per il furto di informazioni. Mantiene una connessione persistente con i suoi operatori e si connette regolarmente per ricevere comandi.

Ciò consente agli aggressori di:

  • Inviare nuove istruzioni dopo l'infezione
  • Scaricare ed eseguire moduli dannosi aggiuntivi
  • Aggiornare le funzionalità o distribuire payload aggiuntivi
  • Mantenere il controllo a lungo termine sui sistemi compromessi

Grazie a questa flessibilità, le infezioni possono evolversi nel tempo e diventare significativamente più dannose.

Come viene distribuito notnullOSX

Il malware si diffonde principalmente attraverso attacchi di ingegneria sociale che manipolano gli utenti inducendoli a installarlo autonomamente. Alle vittime possono essere mostrati falsi problemi, come un avviso di "documento Google protetto" o un messaggio di un'applicazione macOS danneggiata. Vengono quindi istruite a risolvere il problema seguendo passaggi specifici, una tattica ampiamente nota come ClickFix .

Questi passaggi spesso implicano l'esecuzione di comandi nel Terminale o l'apertura di file DMG dannosi. notnullOSX è stato inoltre distribuito tramite falsi siti web di software, portali di download fraudolenti, canali YouTube compromessi e applicazioni fasulle come strumenti per sfondi del desktop, ad esempio 'WallSpace.app'.

Alcune vittime vengono addirittura guidate ad abilitare manualmente l'accesso completo al disco, fornendo al malware un'ampia visibilità sul dispositivo.

Valutazione finale della sicurezza

notnullOSX è una minaccia per macOS estremamente pericolosa, in grado di rubare dati del browser, criptovalute, comunicazioni private, informazioni di autenticazione e credenziali di sviluppatore. La sua struttura modulare, il controllo remoto persistente e la capacità di sostituire le applicazioni la rendono particolarmente insidiosa. Le vittime possono subire la compromissione dell'account, il furto di identità, perdite finanziarie e l'ulteriore diffusione di malware. Si raccomanda vivamente la rimozione immediata e il ripristino completo delle credenziali dopo il rilevamento.

 

Tendenza

I più visti

Caricamento in corso...