Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac Malware notnullOSX macOS

Malware notnullOSX macOS

Por Mezo em Malware para Mac, Ladrões
Traduzir Para:

O notnullOSX é uma família de malware sofisticada para roubo de informações, escrita na linguagem de programação Go. Seu objetivo principal é atingir usuários de macOS, com foco no roubo de criptomoedas e outros dados sensíveis. Os agentes maliciosos geralmente o distribuem por meio de campanhas enganosas do ClickFix e arquivos de instalação DMG infectados por trojans. Se detectado em qualquer dispositivo, deve ser removido imediatamente.

Como o notnullOSX funciona após a infecção

Uma vez instalado e com acesso total ao disco concedido, o notnullOSX pode ler uma grande parte dos arquivos armazenados no sistema. Ele mantém comunicação com um servidor de comandos remoto e baixa módulos maliciosos separados, cada um desenvolvido para uma tarefa específica.

Esses componentes temporários podem ser usados para roubar senhas, copiar arquivos, coletar credenciais e expandir a funcionalidade do malware. Como os módulos são obtidos conforme a necessidade, os invasores podem adaptar continuamente a infecção após o comprometimento inicial.

Recursos de roubo de dados pessoais e do navegador

O notnullOSX tem como alvo principal os dados armazenados nos principais navegadores da web. Diferentes módulos são usados para extrair categorias específicas de informações do Google Chrome, Mozilla Firefox e Safari.

O malware é capaz de roubar:

  • Senhas salvas, cookies, favoritos e histórico de navegação
  • Anotações armazenadas no dispositivo, dados da sessão do Telegram Desktop e até 500 mensagens por conversa, incluindo anexos e formatação.
  • Chaves SSH, credenciais de nuvem, tokens de API e arquivos de configuração salvos na pasta pessoal do usuário.

Essas informações roubadas podem dar aos criminosos acesso a contas, servidores, ambientes em nuvem e plataformas de desenvolvimento.

Carteiras de criptomoedas são um alvo principal

Um dos principais objetivos do notnullOSX é o roubo de criptomoedas. O malware busca dados vinculados a softwares de carteira populares, incluindo Atomic Wallet, Bitcoin Core, Electrum, Exodus e Wasabi Wallet.

Ele também examina extensões de carteira baseadas em navegador e copia informações armazenadas, incluindo frases-semente criptografadas. Mesmo dados de carteira criptografados podem ser explorados posteriormente por meio de ataques de senha ou engenharia social.

A funcionalidade de substituição de aplicativos aumenta o perigo.

Ao contrário de muitos programas maliciosos tradicionais que roubam aplicativos, o notnullOSX pode substituir aplicativos legítimos por versões falsas e maliciosas. Ele pode baixar uma versão falsa de um aplicativo confiável, como um software de carteira, substituir o aplicativo original e manter o mesmo ícone e aparência.

Ao ser executado, o aplicativo falso aparenta ser normal enquanto coleta secretamente informações confidenciais, como frases de recuperação de carteiras digitais. Esse recurso pode ser ativado ou desativado remotamente e geralmente é utilizado apenas quando o aplicativo alvo já está instalado no sistema da vítima.

Mais do que um ladrão: comportamento semelhante ao de um rato

O notnullOSX funciona mais como um Trojan de Acesso Remoto (RAT) do que como um ladrão de informações padrão. Ele mantém uma conexão persistente com seus operadores e verifica regularmente se há comandos.

Isso permite que os atacantes:

  • Enviar novas instruções após a infecção
  • Baixe e execute módulos maliciosos adicionais.
  • Atualize as funcionalidades ou implemente cargas úteis adicionais.
  • Manter o controle a longo prazo sobre sistemas comprometidos.

Devido a essa flexibilidade, as infecções podem evoluir ao longo do tempo e se tornarem significativamente mais prejudiciais.

Como o notnullOSX é distribuído

O malware se espalha principalmente por meio de ataques de engenharia social que manipulam os usuários para que o instalem por conta própria. As vítimas podem visualizar problemas falsos, como um aviso de "Documento do Google protegido" ou uma mensagem de aplicativo macOS corrompido. Em seguida, são instruídas a corrigir o problema seguindo etapas específicas, uma tática amplamente conhecida como ClickFix .

Essas etapas geralmente envolvem a execução de comandos no Terminal ou a abertura de arquivos DMG maliciosos. O notnullOSX também foi distribuído por meio de sites de software falsos, portais de download fraudulentos, canais do YouTube sequestrados e aplicativos falsos, como ferramentas de papel de parede como o 'WallSpace.app'.

Algumas vítimas são até mesmo guiadas a habilitar manualmente o Acesso Total ao Disco, dando ao malware ampla visibilidade do dispositivo.

Avaliação final de segurança

O notnullOSX é uma ameaça altamente perigosa para macOS, capaz de roubar dados do navegador, criptomoedas, comunicações privadas, informações de autenticação e credenciais de desenvolvedor. Seu design modular, controle remoto persistente e recursos de substituição de aplicativos o tornam especialmente grave. As vítimas podem sofrer comprometimento de contas, roubo de identidade, perdas financeiras e novas implantações de malware. A remoção imediata e a redefinição completa das credenciais são fortemente recomendadas após a detecção.

 

Tendendo

Mais visto

Carregando...