NotnullOSX macOS ļaunprogrammatūra
notnullOSX ir sarežģīta informāciju zogoša ļaunprogrammatūru saime, kas rakstīta Go programmēšanas valodā. Tā ir izstrādāta, lai uzbruktu macOS lietotājiem, īpašu uzmanību pievēršot kriptovalūtas un citu sensitīvu datu zādzībai. Draudu izpildītāji to parasti izplata, izmantojot maldinošas ClickFix kampaņas un Trojas zirgu inficētus DMG instalācijas failus. Ja tas tiek atklāts jebkurā ierīcē, tas nekavējoties jānoņem.
Satura rādītājs
Kā notnullOSX darbojas pēc inficēšanās
Kad notnullOSX ir instalēts un tam ir piešķirta pilna piekļuve diskam, tas var nolasīt lielu daļu sistēmā saglabāto failu. Tas uztur saziņu ar attālo komandu serveri un lejupielādē atsevišķus ļaunprātīgus moduļus, katrs no kuriem ir izveidots konkrētam uzdevumam.
Šīs pagaidu komponentes var izmantot, lai nozagtu paroles, kopētu failus, apkopotu akreditācijas datus un paplašinātu ļaunprogrammatūras funkcionalitāti. Tā kā moduļi tiek ielādēti pēc nepieciešamības, uzbrucēji var nepārtraukti pielāgot infekciju pēc sākotnējās kompromitēšanas.
Pārlūkprogrammas un personas datu zādzības iespējas
notnullOSX galvenokārt koncentrējas uz datiem, kas tiek glabāti lielākajās tīmekļa pārlūkprogrammās. Dažādi moduļi tiek izmantoti, lai iegūtu noteiktas informācijas kategorijas no Google Chrome, Mozilla Firefox un Safari.
Ļaunprogrammatūra spēj nozagt:
- Saglabātās paroles, sīkfaili, grāmatzīmes un pārlūkošanas vēsture
- Ierīcē saglabātās piezīmes, Telegram Desktop sesijas dati un līdz 500 ziņojumiem katrā sarunā, ieskaitot pielikumus un formatējumu
- SSH atslēgas, mākoņa akreditācijas dati, API žetoni un konfigurācijas faili, kas saglabāti lietotāja mājas mapē
Šī nozagtā informācija var nodrošināt noziedzniekiem piekļuvi kontiem, serveriem, mākoņvidēm un izstrādes platformām.
Kriptovalūtu maki ir galvenais mērķis
Viens no notnullOSX galvenajiem mērķiem ir kriptovalūtas zādzība. Ļaunprogrammatūra meklē datus, kas saistīti ar populāru maku programmatūru, tostarp Atomic Wallet, Bitcoin Core, Electrum, Exodus un Wasabi Wallet.
Tas arī skenē pārlūkprogrammā balstītus maka paplašinājumus un kopē saglabāto informāciju, tostarp šifrētas sākuma frāzes. Pat šifrētus maka datus vēlāk var izmantot, izmantojot paroles uzbrukumus vai turpmāku sociālo inženieriju.
Lietotnes aizstāšanas funkcija palielina bīstamību
Atšķirībā no daudziem tradicionālajiem zagļiem, notnullOSX var aizstāt likumīgas lietojumprogrammas ar ļaunprātīgām līdzībām. Tā var lejupielādēt uzticamas lietojumprogrammas, piemēram, maka programmatūras, viltotu versiju, aizstāt oriģinālo lietotni un saglabāt to pašu ikonu un izskatu.
Palaišanas laikā viltotā lietojumprogramma izskatās normāla, bet slepeni ievāc sensitīvu informāciju, piemēram, maka atkopšanas frāzes. Šo funkciju var attālināti iespējot vai atspējot, un tā parasti tiek izmantota tikai tad, ja attiecīgā lietojumprogramma jau pastāv upura sistēmā.
Vairāk nekā zaglis: žurku līdzīga uzvedība
notnullOSX darbojas vairāk kā attālās piekļuves Trojas zirgs (RAT), nevis standarta informācijas zaglis. Tas uztur pastāvīgu savienojumu ar saviem operatoriem un regulāri pārbauda komandu esamību.
Tas ļauj uzbrucējiem:
- Pēc inficēšanās nosūtīt jaunus norādījumus
- Lejupielādējiet un izpildiet papildu ļaunprātīgos moduļus
- Atjauniniet iespējas vai izvietojiet papildu vērtumus
- Saglabāt ilgtermiņa kontroli pār apdraudētām sistēmām
Šīs elastības dēļ infekcijas laika gaitā var attīstīties un kļūt ievērojami kaitīgākas.
Kā tiek izplatīts notnullOSX
Ļaunprogrammatūra galvenokārt tiek izplatīta, izmantojot sociālās inženierijas uzbrukumus, kas manipulē ar lietotājiem, lai viņi paši to instalētu. Upuriem var tikt parādītas viltotas problēmas, piemēram, brīdinājums “aizsargāts Google dokuments” vai bojātas macOS lietojumprogrammas ziņojums. Pēc tam viņiem tiek dots norādījums novērst problēmu, veicot noteiktas darbības, kas plaši pazīstama kā ClickFix .
Šīs darbības bieži vien ietver komandu palaišanu terminālī vai ļaunprātīgu DMG failu atvēršanu. notnullOSX ir izplatīts arī, izmantojot viltotas programmatūras vietnes, krāpnieciskus lejupielādes portālus, nolaupītus YouTube kanālus un viltotas lietojumprogrammas, piemēram, tapešu rīkus, piemēram, “WallSpace.app”.
Dažiem upuriem pat tiek sniegti norādījumi, kā manuāli iespējot pilnu piekļuvi diskam, tādējādi ļaunprogrammatūrai nodrošinot plašu ieskatu ierīcē.
Galīgais drošības novērtējums
notnullOSX ir ļoti bīstams macOS apdraudējums, kas spēj nozagt pārlūkprogrammas datus, kriptovalūtas aktīvus, privāto saziņu, autentifikācijas materiālus un izstrādātāja akreditācijas datus. Tā modulārais dizains, pastāvīgā attālā vadība un lietojumprogrammu aizstāšanas funkcijas padara to īpaši nopietnu. Cietušie var saskarties ar konta apdraudēšanu, identitātes zādzību, finansiāliem zaudējumiem un turpmāku ļaunprogrammatūras izvietošanu. Pēc atklāšanas stingri ieteicams nekavējoties noņemt un pilnībā akreditācijas datus atiestatīt.
