Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac Malware-ul notnullOSX macOS

Malware-ul notnullOSX macOS

Până în Mezo în Malware pentru Mac, Furători
Tradu in:

notnullOSX este o familie sofisticată de programe malware care fură informații, scrisă în limbajul de programare Go. Este concepută pentru a viza utilizatorii macOS, cu accent puternic pe furtul de criptomonede și alte date sensibile. Actorii amenințători îl distribuie de obicei prin campanii înșelătoare ClickFix și fișiere de instalare DMG troienite. Dacă este detectat pe orice dispozitiv, trebuie eliminat fără întârziere.

Cum funcționează notnullOSX după o infectare

Odată instalat și având acces complet la disc, notnullOSX poate citi o mare parte din fișierele stocate pe sistem. Menține comunicarea cu un server de comenzi la distanță și descarcă module separate de tip „malware”, fiecare construit pentru o sarcină specifică.

Aceste componente temporare pot fi folosite pentru a fura parole, a copia fișiere, a colecta acreditări și a extinde funcționalitatea malware-ului. Deoarece modulele sunt preluate după cum este necesar, atacatorii pot adapta continuu infecția după compromiterea inițială.

Capacități de furt de date personale și de browser

notnullOSX vizează în mod intens datele stocate în principalele browsere web. Diferite module sunt folosite pentru a extrage anumite categorii de informații din Google Chrome, Mozilla Firefox și Safari.

Malware-ul este capabil să fure:

  • Parolele, cookie-urile, marcajele și istoricul de navigare salvate
  • Note stocate pe dispozitiv, date de sesiune Telegram Desktop și până la 500 de mesaje per conversație, inclusiv atașamente și formatare
  • Chei SSH, acreditări cloud, token-uri API și fișiere de configurare salvate în folderul principal al utilizatorului

Aceste informații furate pot oferi infractorilor acces la conturi, servere, medii cloud și platforme de dezvoltare.

Portofelele cu criptomonede sunt o țintă principală

Un obiectiv major al notnullOSX este furtul de criptomonede. Malware-ul caută date legate de software-uri populare de portofel, inclusiv Atomic Wallet, Bitcoin Core, Electrum, Exodus și Wasabi Wallet.

De asemenea, scanează extensiile de portofel bazate pe browser și copiază informațiile stocate, inclusiv frazele inițiale criptate. Chiar și datele criptate ale portofelului pot fi exploatate ulterior prin atacuri cu parole sau prin alte tehnici de inginerie socială.

Funcția de înlocuire a aplicației crește pericolul

Spre deosebire de multe aplicații tradiționale care fură aplicații, notnullOSX poate înlocui aplicațiile legitime cu aplicații similare, malițioase. Poate descărca o versiune falsă a unei aplicații de încredere, cum ar fi un software de portofel electronic, poate înlocui aplicația originală și poate păstra aceeași pictogramă și același aspect.

Când este lansată, aplicația contrafăcută apare normal, în timp ce colectează în secret informații sensibile, cum ar fi fraze de recuperare a portofelului. Această funcție poate fi activată sau dezactivată de la distanță și este de obicei utilizată numai atunci când aplicația vizată există deja pe sistemul victimei.

Mai mult decât un hoț: comportament asemănător șobolanilor

notnullOSX funcționează mai mult ca un troian de acces la distanță (RAT) decât ca un infostealer standard. Menține o conexiune persistentă cu operatorii săi și verifică în mod regulat comenzile.

Acest lucru permite atacatorilor să:

  • Trimiteți noi instrucțiuni după infectare
  • Descărcați și executați module suplimentare rău intenționate
  • Actualizați capacitățile sau implementați sarcini utile suplimentare
  • Mențineți controlul pe termen lung asupra sistemelor compromise

Datorită acestei flexibilități, infecțiile pot evolua în timp și pot deveni semnificativ mai dăunătoare.

Cum este distribuit notnullOSX

Malware-ul se răspândește în principal prin atacuri de inginerie socială care manipulează utilizatorii să îl instaleze singuri. Victimelor li se pot afișa probleme false, cum ar fi un avertisment „Document Google protejat” sau un mesaj de aplicație macOS deteriorată. Apoi, li se instruiește să remedieze problema prin pași specifici, o tactică cunoscută pe scară largă sub numele de ClickFix .

Acești pași implică adesea rularea comenzilor în Terminal sau deschiderea de fișiere DMG rău intenționate. notnullOSX a fost distribuit și prin intermediul unor site-uri web false de software, portaluri de descărcare frauduloase, canale YouTube deturnate și aplicații false, cum ar fi instrumente de fundal precum „WallSpace.app”.

Unele victime sunt chiar ghidate prin activarea manuală a accesului complet la disc, oferind malware-ului o vizibilitate largă asupra dispozitivului.

Evaluarea finală a securității

notnullOSX este o amenințare macOS extrem de periculoasă, capabilă să fure date de browser, active criptomonedare, comunicații private, materiale de autentificare și acreditări de dezvoltator. Designul său modular, controlul persistent de la distanță și funcțiile de înlocuire a aplicațiilor o fac deosebit de gravă. Victimele se pot confrunta cu compromiterea contului, furtul de identitate, pierderi financiare și implementarea ulterioară de programe malware. Eliminarea imediată și un proces complet de resetare a acreditărilor sunt recomandate insistent după detectare.

 

Trending

Cele mai văzute

Se încarcă...