Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė „Mac“ kenkėjiška programa NotnullOSX macOS kenkėjiška programa

NotnullOSX macOS kenkėjiška programa

Autorius Mezo, „Mac“ kenkėjiška programa, Vogtininkai
Versti į:

„notnullOSX“ yra sudėtinga informaciją vagianti kenkėjiškų programų šeima, parašyta „Go“ programavimo kalba. Ji sukurta taikiniams į „macOS“ naudotojus, daugiausia dėmesio skiriant kriptovaliutos ir kitų neskelbtinų duomenų vagystei. Kibernetiniai nusikaltėliai dažniausiai platina ją per apgaulingas „ClickFix“ kampanijas ir Trojos arkliais užkrėstus DMG diegimo failus. Jei ji aptinkama bet kuriame įrenginyje, ją reikia nedelsiant pašalinti.

Kaip „notnullOSX“ veikia po užkrėtimo

Įdiegus ir suteikus visišką prieigą prie disko, „notnullOSX“ gali nuskaityti didelę dalį sistemoje saugomų failų. Ji palaiko ryšį su nuotoliniu komandų serveriu ir atsisiunčia atskirus kenkėjiškus modulius, kurių kiekvienas sukurtas konkrečiai užduočiai.

Šie laikini komponentai gali būti naudojami slaptažodžiams vogti, failams kopijuoti, kredencialams rinkti ir kenkėjiškos programos funkcionalumui išplėsti. Kadangi moduliai yra nuskaitomi pagal poreikį, užpuolikai gali nuolat pritaikyti užkrėtimą po pradinio užkrėtimo.

Naršyklės ir asmeninių duomenų vagystės galimybės

„notnullOSX“ daugiausia dėmesio skiria duomenims, saugomiems pagrindinėse žiniatinklio naršyklėse. Skirtingi moduliai naudojami konkrečių kategorijų informacijai išgauti iš „Google Chrome“, „Mozilla Firefox“ ir „Safari“.

Kenkėjiška programa gali pavogti:

  • Išsaugoti slaptažodžiai, slapukai, žymės ir naršymo istorija
  • Įrenginyje saugomi užrašai, „Telegram Desktop“ sesijos duomenys ir iki 500 pranešimų vienam pokalbiui, įskaitant priedus ir formatavimą
  • SSH raktai, debesies prisijungimo duomenys, API prieigos raktai ir konfigūracijos failai, išsaugoti vartotojo namų aplanke

Ši pavogta informacija gali suteikti nusikaltėliams prieigą prie paskyrų, serverių, debesijos aplinkų ir kūrimo platformų.

Kriptovaliutų piniginės yra pagrindinis taikinys

Pagrindinis „notnullOSX“ tikslas – kriptovaliutų vagystė. Kenkėjiška programa ieško duomenų, susietų su populiaria piniginės programine įranga, įskaitant „Atomic Wallet“, „Bitcoin Core“, „Electrum“, „Exodus“ ir „Wasabi Wallet“.

Ji taip pat nuskaito naršyklėje veikiančius piniginės plėtinius ir kopijuoja saugomą informaciją, įskaitant užšifruotas pradines frazes. Net užšifruotus piniginės duomenis vėliau galima panaudoti slaptažodžių atakomis ar tolesne socialine inžinerija.

Programėlės pakeitimo funkcija padidina pavojų

Kitaip nei daugelis tradicinių programų vagių, „notnullOSX“ gali pakeisti teisėtas programas kenkėjiškomis panašiomis programomis. Ji gali atsisiųsti netikrą patikimos programos versiją, pvz., piniginės programinę įrangą, pakeisti originalią programą ir išlaikyti tą pačią piktogramą bei išvaizdą.

Paleista padirbta programa atrodo įprastai, o slapta renka neskelbtiną informaciją, pvz., piniginės atkūrimo frazes. Šią funkciją galima nuotoliniu būdu įjungti arba išjungti ir paprastai ji naudojama tik tada, kai tikslinė programa jau yra aukos sistemoje.

Daugiau nei vagis: žiurkėms būdingas elgesys

„notnullOSX“ veikia labiau kaip nuotolinės prieigos Trojos arklys (RAT) nei standartinis informacijos vagystės įrankis. Jis palaiko nuolatinį ryšį su savo operatoriais ir reguliariai tikrina, ar nėra komandų.

Tai leidžia užpuolikams:

  • Siųsti naujas instrukcijas po užsikrėtimo
  • Atsisiųskite ir vykdykite papildomus kenkėjiškus modulius
  • Atnaujinkite galimybes arba diegkite papildomus naudinguosius krovinius
  • Išlaikyti ilgalaikę pažeistų sistemų kontrolę

Dėl šio lankstumo infekcijos laikui bėgant gali vystytis ir tapti žymiai žalingesnės.

Kaip platinama „notnullOSX“

Kenkėjiška programa daugiausia platinama socialinės inžinerijos atakų būdu, kurių metu vartotojai manipuliuoja ir priverčia juos patys ją įdiegti. Aukos gali būti informuojamos apie netikras problemas, pvz., įspėjimą „apsaugotas „Google“ dokumentas“ arba pranešimą apie pažeistą „macOS“ programą. Tada joms nurodoma išspręsti problemą atliekant konkrečius veiksmus – ši taktika plačiai žinoma kaip „ClickFix“ .

Šie veiksmai dažnai apima komandų vykdymą terminale arba kenkėjiškų DMG failų atidarymą. „notnullOSX“ taip pat buvo platinama per netikras programinės įrangos svetaines, apgaulingus atsisiuntimo portalus, užgrobtus „YouTube“ kanalus ir netikras programas, tokias kaip fonų kūrimo įrankiai, tokie kaip „WallSpace.app“.

Kai kurioms aukoms netgi padedama rankiniu būdu įjungti visišką prieigą prie disko, taip suteikiant kenkėjiškai programai platų matomumą įrenginyje.

Galutinis saugumo vertinimas

„notnullOSX“ yra itin pavojinga „macOS“ grėsmė, galinti pavogti naršyklės duomenis, kriptovaliutų turtą, privačius pranešimus, autentifikavimo medžiagą ir kūrėjų kredencialus. Dėl modulinės konstrukcijos, nuolatinio nuotolinio valdymo ir programų pakeitimo funkcijų ši grėsmė yra ypač pavojinga. Aukos gali susidurti su paskyros pažeidimu, tapatybės vagyste, finansiniais nuostoliais ir tolesniu kenkėjiškų programų diegimu. Po aptikimo primygtinai rekomenduojama nedelsiant pašalinti ir atlikti visišką kredencialų atkūrimo procesą.

 

Tendencijos

Labiausiai žiūrima

Įkeliama...