Multilicenčná zľavová ponuka
Databáza hrozieb Škodlivý softvér Mac NotnullOSX macOS Malware

NotnullOSX macOS Malware

Do roku Mezo v roku Škodlivý softvér Mac, Zlodeji
Preložiť do:

notnullOSX je sofistikovaná rodina malvéru kradnúceho informácie, napísaná v programovacom jazyku Go. Je navrhnutá tak, aby zacielila na používateľov macOS so silným zameraním na krádež kryptomien a iných citlivých údajov. Útočníci ju bežne šíria prostredníctvom klamlivých kampaní ClickFix a inštalačných súborov DMG infikovaných trójskymi koňmi. Ak sa zistí na akomkoľvek zariadení, mal by byť bezodkladne odstránený.

Ako funguje notnullOSX po infikovaní

Po nainštalovaní a udelení úplného prístupu k disku dokáže notnullOSX čítať veľkú časť súborov uložených v systéme. Udržiava komunikáciu so vzdialeným príkazovým serverom a sťahuje samostatné škodlivé moduly, z ktorých každý je vytvorený pre konkrétnu úlohu.

Tieto dočasné komponenty sa dajú použiť na krádež hesiel, kopírovanie súborov, zhromažďovanie prihlasovacích údajov a rozširovanie funkčnosti malvéru. Keďže moduly sa načítavajú podľa potreby, útočníci môžu po počiatočnej kompromitácii infekciu priebežne prispôsobovať.

Možnosti prehliadača a krádeže osobných údajov

NotnullOSX sa silne zameriava na dáta uložené vo veľkých webových prehliadačoch. Na extrakciu špecifických kategórií informácií z prehliadačov Google Chrome, Mozilla Firefox a Safari sa používajú rôzne moduly.

Škodlivý softvér je schopný ukradnúť:

  • Uložené heslá, súbory cookie, záložky a história prehliadania
  • Poznámky uložené v zariadení, údaje o relácii Telegram Desktop a až 500 správ na konverzáciu vrátane príloh a formátovania
  • Kľúče SSH, cloudové prihlasovacie údaje, tokeny API a konfiguračné súbory uložené v domovskom priečinku používateľa

Tieto ukradnuté informácie môžu zločincom poskytnúť prístup k účtom, serverom, cloudovým prostrediam a vývojovým platformám.

Kryptomenové peňaženky sú primárnym cieľom

Hlavným cieľom notnullOSX je krádež kryptomien. Malvér vyhľadáva údaje prepojené s populárnym softvérom peňaženiek vrátane Atomic Wallet, Bitcoin Core, Electrum, Exodus a Wasabi Wallet.

Taktiež skenuje rozšírenia peňaženiek v prehliadači a kopíruje uložené informácie vrátane šifrovaných seed fráz. Dokonca aj šifrované údaje peňaženky môžu byť neskôr zneužité prostredníctvom útokov na heslo alebo ďalšieho sociálneho inžinierstva.

Funkcia nahradenia aplikácie zvyšuje nebezpečenstvo

Na rozdiel od mnohých tradičných kradcov softvéru dokáže notnullOSX nahradiť legitímne aplikácie škodlivými podobnými aplikáciami. Môže si stiahnuť falošnú verziu dôveryhodnej aplikácie, ako napríklad softvér peňaženky, nahradiť pôvodnú aplikáciu a zachovať rovnakú ikonu a vzhľad.

Po spustení sa falzifikátna aplikácia javí ako normálna, pričom tajne zhromažďuje citlivé informácie, ako sú napríklad frázy na obnovenie peňaženky. Túto funkciu je možné na diaľku povoliť alebo zakázať a zvyčajne sa používa iba vtedy, keď cieľová aplikácia už existuje v systéme obete.

Viac než len zlodej: Správanie podobné potkanovi

notnullOSX funguje skôr ako trójsky kôň pre vzdialený prístup (RAT) než štandardný informačný kôň. Udržiava trvalé pripojenie k svojim operátorom a pravidelne kontroluje príkazy.

To umožňuje útočníkom:

  • Po infikovaní odoslať nové pokyny
  • Stiahnite a spustite ďalšie škodlivé moduly
  • Aktualizácia funkcií alebo nasadenie dodatočných údajov
  • Udržujte si dlhodobú kontrolu nad napadnutými systémami

Kvôli tejto flexibilite sa infekcie môžu časom vyvíjať a stať sa výrazne škodlivejšími.

Ako je distribuovaný notnullOSX

Malvér sa šíri predovšetkým prostredníctvom útokov sociálneho inžinierstva, ktoré manipulujú používateľov, aby si ho sami nainštalovali. Obetiam sa môžu zobrazovať falošné problémy, ako napríklad upozornenie na „chránený dokument Google“ alebo správa o poškodenej aplikácii macOS. Následne sú poučené, aby problém vyriešili pomocou konkrétnych krokov, čo je taktika všeobecne známa ako ClickFix .

Tieto kroky často zahŕňajú spúšťanie príkazov v termináli alebo otváranie škodlivých súborov DMG. notnullOSX sa distribuuje aj prostredníctvom falošných webových stránok so softvérom, podvodných portálov na sťahovanie, unesených kanálov YouTube a falošných aplikácií, ako sú nástroje na tapety ako „WallSpace.app“.

Niektoré obete sú dokonca manuálne prevedené k povoleniu úplného prístupu k disku, čím sa malvéru poskytne široký prehľad o zariadení.

Záverečné posúdenie bezpečnosti

notnullOSX je vysoko nebezpečná hrozba pre macOS, ktorá dokáže ukradnúť údaje prehliadača, kryptomenové aktíva, súkromnú komunikáciu, autentifikačné materiály a poverenia vývojárov. Jej modulárny dizajn, trvalé diaľkové ovládanie a funkcie nahrádzania aplikácií ju robia obzvlášť závažnou. Obetiam môže hroziť napadnutie účtu, krádež identity, finančné straty a ďalšie nasadenie škodlivého softvéru. Po detekcii sa dôrazne odporúča okamžité odstránenie a úplné obnovenie poverení.

 

Trendy

Najviac videné

Načítava...