Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware Niet nullOSX macOS Malware

Niet nullOSX macOS Malware

Tegen Mezo in Mac-malware, Dieven
Vertalen naar:

notnullOSX is een geavanceerde malwarefamilie die informatie steelt en is geschreven in de programmeertaal Go. De malware is specifiek ontworpen voor macOS-gebruikers en richt zich met name op het stelen van cryptovaluta en andere gevoelige gegevens. Kwaadwillenden verspreiden de malware vaak via misleidende ClickFix-campagnes en DMG-installatiebestanden die met een trojan zijn geïnfecteerd. Als de malware op een apparaat wordt gedetecteerd, moet deze onmiddellijk worden verwijderd.

Hoe notnullOSX werkt na een infectie

Eenmaal geïnstalleerd en voorzien van volledige schijftoegang, kan notnullOSX een groot deel van de bestanden op het systeem lezen. Het onderhoudt een verbinding met een externe commandoserver en downloadt afzonderlijke kwaadaardige modules, elk ontworpen voor een specifieke taak.

Deze tijdelijke componenten kunnen worden gebruikt om wachtwoorden te stelen, bestanden te kopiëren, inloggegevens te verzamelen en de functionaliteit van de malware uit te breiden. Omdat modules naar behoefte worden opgehaald, kunnen aanvallers de infectie na de eerste inbreuk voortdurend aanpassen.

Mogelijkheden voor diefstal van browser- en persoonlijke gegevens

notnullOSX richt zich met name op gegevens die zijn opgeslagen in de belangrijkste webbrowsers. Verschillende modules worden gebruikt om specifieke categorieën informatie te extraheren uit Google Chrome, Mozilla Firefox en Safari.

De malware is in staat om het volgende te stelen:

  • Opgeslagen wachtwoorden, cookies, bladwijzers en browsegeschiedenis
  • Notities die op het apparaat zijn opgeslagen, Telegram Desktop-sessiegegevens en tot 500 berichten per gesprek, inclusief bijlagen en opmaak.
  • SSH-sleutels, cloudreferenties, API-tokens en configuratiebestanden die in de thuismap van de gebruiker zijn opgeslagen.

Deze gestolen informatie kan criminelen toegang verschaffen tot accounts, servers, cloudomgevingen en ontwikkelplatformen.

Cryptowallets zijn een belangrijk doelwit.

Een belangrijk doel van notnullOSX is het stelen van cryptovaluta. De malware zoekt naar gegevens die gekoppeld zijn aan populaire walletsoftware, waaronder Atomic Wallet, Bitcoin Core, Electrum, Exodus en Wasabi Wallet.

Het scant ook browsergebaseerde wallet-extensies en kopieert opgeslagen informatie, waaronder versleutelde herstelzinnen. Zelfs versleutelde wallet-gegevens kunnen later worden misbruikt via wachtwoordaanvallen of andere vormen van social engineering.

De functie voor het vervangen van apps vergroot het gevaar.

In tegenstelling tot veel traditionele software-diefstalprogramma's kan notnullOSX legitieme applicaties vervangen door kwaadaardige namaakversies. Het kan een nepversie van een vertrouwde applicatie downloaden, zoals wallet-software, de originele app vervangen en daarbij hetzelfde pictogram en uiterlijk behouden.

Bij het opstarten lijkt de namaakapplicatie normaal, terwijl deze stiekem gevoelige informatie verzamelt, zoals herstelzinnen voor digitale portemonnees. Deze functie kan op afstand worden in- of uitgeschakeld en wordt doorgaans alleen gebruikt als de beoogde applicatie al op het systeem van het slachtoffer aanwezig is.

Meer dan een dief: ratachtig gedrag

notnullOSX functioneert meer als een Remote Access Trojan (RAT) dan als een standaard infostealer. Het onderhoudt een permanente verbinding met zijn beheerders en controleert regelmatig op commando's.

Dit stelt aanvallers in staat om:

  • Stuur nieuwe instructies na de infectie.
  • Download en voer aanvullende kwaadaardige modules uit.
  • Mogelijkheden bijwerken of extra payloads inzetten.
  • Behoud de controle over gecompromitteerde systemen op de lange termijn.

Door deze flexibiliteit kunnen infecties in de loop der tijd evolueren en aanzienlijk meer schade aanrichten.

Hoe notnullOSX wordt gedistribueerd

De malware wordt voornamelijk verspreid via social engineering-aanvallen waarbij gebruikers worden gemanipuleerd om de malware zelf te installeren. Slachtoffers krijgen mogelijk nepproblemen te zien, zoals een waarschuwing voor een 'beveiligd Google-document' of een bericht over een beschadigde macOS-applicatie. Vervolgens worden ze geïnstrueerd om het probleem op te lossen door middel van specifieke stappen, een tactiek die algemeen bekend staat als ClickFix .

Die stappen omvatten vaak het uitvoeren van commando's in Terminal of het openen van schadelijke DMG-bestanden. notnullOSX is ook verspreid via nepsoftwarewebsites, frauduleuze downloadportalen, gehackte YouTube-kanalen en nepapplicaties zoals achtergrondtools als 'WallSpace.app'.

Sommige slachtoffers worden zelfs onder druk gezet om handmatig volledige schijftoegang in te schakelen, waardoor de malware uitgebreide toegang tot het apparaat krijgt.

Eindbeoordeling van de beveiliging

notnullOSX is een zeer gevaarlijke macOS-dreiging die in staat is browsergegevens, cryptovaluta, privécommunicatie, authenticatiemateriaal en ontwikkelaarsreferenties te stelen. Het modulaire ontwerp, de permanente afstandsbediening en de mogelijkheid om applicaties te vervangen, maken het bijzonder gevaarlijk. Slachtoffers kunnen te maken krijgen met accountcompromittering, identiteitsdiefstal, financieel verlies en verdere verspreiding van malware. Onmiddellijke verwijdering en een volledige reset van de inloggegevens worden ten zeerste aanbevolen na detectie.

 

Trending

Meest bekeken

Bezig met laden...