NotnullOSX macOS-skadevare
notnullOSX er en sofistikert familie av skadelige programmer som stjeler informasjon, skrevet i programmeringsspråket Go. Den er utviklet for å målrette macOS-brukere, med et sterkt fokus på å stjele kryptovaluta og andre sensitive data. Trusselaktører distribuerer den ofte gjennom villedende ClickFix-kampanjer og trojaneriserte DMG-installasjonsfiler. Hvis den oppdages på en enhet, bør den fjernes uten forsinkelse.
Innholdsfortegnelse
Hvordan notnullOSX fungerer etter infeksjon
Når det er installert og gitt full disktilgang, kan notnullOSX lese en stor del av filene som er lagret på systemet. Det opprettholder kommunikasjon med en ekstern kommandoserver og laster ned separate skadelige moduler, hver bygget for en spesifikk oppgave.
Disse midlertidige komponentene kan brukes til å stjele passord, kopiere filer, samle inn legitimasjon og utvide funksjonaliteten til skadelig programvare. Fordi moduler hentes etter behov, kan angripere kontinuerlig tilpasse infeksjonen etter den første kompromitteringen.
Funksjoner for tyveri av nettlesere og personopplysninger
notnullOSX retter seg i stor grad mot data lagret i de fleste nettlesere. Ulike moduler brukes til å trekke ut spesifikke kategorier av informasjon fra Google Chrome, Mozilla Firefox og Safari.
Skadevaren er i stand til å stjele:
- Lagrede passord, informasjonskapsler, bokmerker og nettleserlogg
- Notater lagret på enheten, Telegram Desktop-øktdata og opptil 500 meldinger per samtale, inkludert vedlegg og formatering
- SSH-nøkler, skylegitimasjon, API-tokener og konfigurasjonsfiler lagret i brukerens hjemmemappe
Denne stjålne informasjonen kan gi kriminelle tilgang til kontoer, servere, skymiljøer og utviklingsplattformer.
Kryptovaluta-lommebøker er et primært mål
Et hovedmål med notnullOSX er kryptovalutatyveri. Skadevaren søker etter data knyttet til populær lommebokprogramvare, inkludert Atomic Wallet, Bitcoin Core, Electrum, Exodus og Wasabi Wallet.
Den skanner også nettleserbaserte lommebokutvidelser og kopierer lagret informasjon, inkludert krypterte såfraser. Selv krypterte lommebokdata kan senere utnyttes gjennom passordangrep eller ytterligere sosial manipulering.
App-erstatningsfunksjonen øker faren
I motsetning til mange tradisjonelle applikasjonstyvere, kan notnullOSX erstatte legitime apper med ondsinnede kopier. Den kan laste ned en falsk versjon av en pålitelig applikasjon, for eksempel lommebokprogramvare, erstatte den originale appen og beholde samme ikon og utseende.
Når den forfalskede applikasjonen startes, ser den ut til å være normal, mens den i hemmelighet samler inn sensitiv informasjon, for eksempel setninger for gjenoppretting av lommeboken. Denne funksjonen kan aktiveres eller deaktiveres eksternt og brukes vanligvis bare når den målrettede applikasjonen allerede finnes på offerets system.
Mer enn en tyver: RAT-lignende oppførsel
notnullOSX fungerer mer som en fjerntilgangstrojaner (RAT) enn en standard infotyver. Den opprettholder en vedvarende forbindelse til operatørene sine og sjekker regelmessig for kommandoer.
Dette gjør det mulig for angripere å:
- Send nye instruksjoner etter smitte
- Last ned og kjør ytterligere skadelige moduler
- Oppdater funksjoner eller distribuer ekstra nyttelaster
- Oppretthold langsiktig kontroll over kompromitterte systemer
På grunn av denne fleksibiliteten kan infeksjoner utvikle seg over tid og bli betydelig mer skadelige.
Hvordan notnullOSX distribueres
Skadevaren spres hovedsakelig gjennom sosial manipulering som manipulerer brukere til å installere den selv. Ofrene kan bli vist falske problemer, for eksempel en advarsel om «beskyttet Google-dokument» eller en melding om et skadet macOS-program. De blir deretter bedt om å fikse problemet gjennom spesifikke trinn, en taktikk som er allment kjent som ClickFix .
Disse trinnene innebærer ofte å kjøre kommandoer i Terminal eller åpne skadelige DMG-filer. notnullOSX har også blitt distribuert gjennom falske programvarenettsteder, uredelige nedlastingsportaler, kaprede YouTube-kanaler og falske applikasjoner som bakgrunnsverktøy som «WallSpace.app».
Noen ofre blir til og med veiledet gjennom manuell aktivering av Full Disk Access, noe som gir skadevaren bred innsikt i enheten.
Endelig sikkerhetsvurdering
notnullOSX er en svært farlig macOS-trussel som er i stand til å stjele nettleserdata, kryptovaluta-ressurser, privat kommunikasjon, autentiseringsmateriale og utviklerlegitimasjon. Den modulære designen, den vedvarende fjernkontrollen og funksjonene for programutskifting gjør den spesielt alvorlig. Ofre kan oppleve kontokompromittering, identitetstyveri, økonomisk tap og ytterligere distribusjon av skadelig programvare. Umiddelbar fjerning og en fullstendig tilbakestilling av legitimasjon anbefales på det sterkeste etter oppdagelse.
