Oferta rabatowa na wiele licencji
Baza danych zagrożeń Malware na Maca NotnullOSX Malware macOS

NotnullOSX Malware macOS

Do Mezo w Malware na Maca, Złodzieje
Przetłumacz na:

notnullOSX to rodzina wyrafinowanego złośliwego oprogramowania, kradnącego informacje, napisanego w języku programowania Go. Jest on przeznaczony dla użytkowników systemu macOS, ze szczególnym naciskiem na kradzież kryptowalut i innych poufnych danych. Aktorzy zagrożeń często rozpowszechniają go za pośrednictwem oszukańczych kampanii ClickFix i zainfekowanych plików instalacyjnych DMG. W przypadku wykrycia na dowolnym urządzeniu, należy go niezwłocznie usunąć.

Jak notnullOSX działa po infekcji

Po zainstalowaniu i uzyskaniu pełnego dostępu do dysku, notnullOSX może odczytać dużą część plików przechowywanych w systemie. Utrzymuje komunikację ze zdalnym serwerem poleceń i pobiera oddzielne złośliwe moduły, każdy stworzony do konkretnego zadania.

Te tymczasowe komponenty mogą służyć do kradzieży haseł, kopiowania plików, gromadzenia danych uwierzytelniających i rozszerzania funkcjonalności złośliwego oprogramowania. Ponieważ moduły są pobierane w razie potrzeby, atakujący mogą stale dostosowywać przebieg infekcji po jej początkowym zainfekowaniu.

Możliwości przeglądarki i kradzieży danych osobowych

System notnullOSX w dużym stopniu atakuje dane przechowywane w popularnych przeglądarkach internetowych. Do wyodrębniania określonych kategorii informacji z przeglądarek Google Chrome, Mozilla Firefox i Safari używane są różne moduły.

Szkodliwe oprogramowanie jest w stanie ukraść:

  • Zapisane hasła, pliki cookie, zakładki i historia przeglądania
  • Notatki przechowywane na urządzeniu, dane sesji Telegram Desktop i do 500 wiadomości na konwersację, w tym załączniki i formatowanie
  • Klucze SSH, dane uwierzytelniające w chmurze, tokeny API i pliki konfiguracyjne zapisane w folderze domowym użytkownika

Skradzione informacje mogą umożliwić przestępcom dostęp do kont, serwerów, środowisk chmurowych i platform programistycznych.

Portfele kryptowalutowe są głównym celem

Głównym celem notnullOSX jest kradzież kryptowalut. Szkodliwe oprogramowanie wyszukuje dane powiązane z popularnymi portfelami, takimi jak Atomic Wallet, Bitcoin Core, Electrum, Exodus i Wasabi Wallet.

Skanuje również rozszerzenia portfela oparte na przeglądarce i kopiuje zapisane informacje, w tym zaszyfrowane frazy początkowe. Nawet zaszyfrowane dane portfela mogą później zostać wykorzystane poprzez ataki na hasła lub dalszą socjotechnikę.

Funkcja zastępowania aplikacji zwiększa zagrożenie

W przeciwieństwie do wielu tradycyjnych programów do kradzieży danych, notnullOSX potrafi podmienić legalne aplikacje na złośliwe odpowiedniki. Może pobrać fałszywą wersję zaufanej aplikacji, takiej jak oprogramowanie portfela, podmienić ją na oryginalną, zachowując tę samą ikonę i wygląd.

Po uruchomieniu podrobiona aplikacja wygląda normalnie, jednocześnie potajemnie gromadząc poufne informacje, takie jak frazy odzyskiwania portfela. Funkcję tę można zdalnie włączyć lub wyłączyć i zazwyczaj jest ona używana tylko wtedy, gdy docelowa aplikacja jest już obecna w systemie ofiary.

Więcej niż złodziej: zachowanie przypominające szczura

notnullOSX działa bardziej jak trojan zdalnego dostępu (RAT) niż standardowy kod wykradający informacje. Utrzymuje stałe połączenie ze swoimi operatorami i regularnie sprawdza, czy pojawiły się jakieś polecenia.

Umożliwia to atakującym:

  • Wyślij nowe instrukcje po zakażeniu
  • Pobierz i uruchom dodatkowe złośliwe moduły
  • Zaktualizuj możliwości lub wdróż dodatkowe ładunki
  • Zachowaj długoterminową kontrolę nad zagrożonymi systemami

Ze względu na tę elastyczność, infekcje mogą z czasem rozwijać się i stać się znacznie bardziej szkodliwe.

Jak rozprowadzany jest system notnullOSX

Szkodliwe oprogramowanie rozprzestrzenia się głównie poprzez ataki socjotechniczne, które manipulują użytkownikami, aby sami je zainstalowali. Ofiarom mogą być prezentowane fałszywe problemy, takie jak ostrzeżenie „chroniony Dokument Google” lub komunikat o uszkodzonej aplikacji macOS. Następnie otrzymują instrukcje, aby rozwiązać problem, wykonując określone kroki – taktykę powszechnie znaną jako ClickFix .

Kroki te często obejmują uruchamianie poleceń w terminalu lub otwieranie złośliwych plików DMG. notnullOSX rozprzestrzeniał się również za pośrednictwem fałszywych witryn z oprogramowaniem, fałszywych portali do pobierania, przejętych kanałów YouTube i fałszywych aplikacji, takich jak narzędzia do tapet typu „WallSpace.app”.

Niektóre ofiary są nawet instruowane, jak ręcznie włączyć Pełny dostęp do dysku, dzięki czemu złośliwe oprogramowanie zyskuje szeroki wgląd w urządzenie.

Ostateczna ocena bezpieczeństwa

notnullOSX to niezwykle niebezpieczne zagrożenie dla systemu macOS, które może wykraść dane przeglądarki, zasoby kryptowalutowe, prywatną komunikację, materiały uwierzytelniające i dane uwierzytelniające programistów. Jego modułowa konstrukcja, funkcja trwałego zdalnego sterowania i podmiany aplikacji czynią go szczególnie dotkliwym. Ofiary mogą paść ofiarą włamania na konto, kradzieży tożsamości, strat finansowych i dalszego rozprzestrzeniania złośliwego oprogramowania. Zdecydowanie zaleca się natychmiastowe usunięcie i przeprowadzenie pełnego procesu resetowania danych uwierzytelniających po wykryciu.

 

Popularne

Najczęściej oglądane

Ładowanie...