NotnullOSX macOS Zlonamerna programska oprema

notnullOSX je sofisticirana družina zlonamerne programske opreme za krajo informacij, napisana v programskem jeziku Go. Zasnovana je za ciljanje uporabnikov macOS-a, z močnim poudarkom na kraji kriptovalut in drugih občutljivih podatkov. Grožnje jo običajno širijo prek zavajajočih kampanj ClickFix in trojanskih namestitvenih datotek DMG. Če jo odkrijejo v kateri koli napravi, jo je treba nemudoma odstraniti.

Kako deluje notnullOSX po okužbi

Ko je nameščen in mu je odobren poln dostop do diska, lahko notnullOSX prebere velik del datotek, shranjenih v sistemu. Vzdržuje komunikacijo z oddaljenim strežnikom ukazov in prenaša ločene zlonamerne module, od katerih je vsak zgrajen za določeno nalogo.

Te začasne komponente se lahko uporabijo za krajo gesel, kopiranje datotek, zbiranje poverilnic in razširitev funkcionalnosti zlonamerne programske opreme. Ker se moduli pridobivajo po potrebi, lahko napadalci po začetni ogrožanji okužbo nenehno prilagajajo.

Zmogljivosti brskalnika in kraje osebnih podatkov

notnullOSX močno cilja na podatke, shranjene v večjih spletnih brskalnikih. Za pridobivanje določenih kategorij informacij iz brskalnikov Google Chrome, Mozilla Firefox in Safari se uporabljajo različni moduli.

Zlonamerna programska oprema lahko krade:

• Shranjena gesla, piškotki, zaznamki in zgodovina brskanja
• Zapiski, shranjeni v napravi, podatki seje Telegram Desktop in do 500 sporočil na pogovor, vključno s prilogami in oblikovanjem
• Ključi SSH, poverilnice za oblak, žetoni API in konfiguracijske datoteke, shranjene v domači mapi uporabnika

Ti ukradeni podatki lahko kriminalcem omogočijo dostop do računov, strežnikov, oblačnih okolij in razvojnih platform.

Kripto denarnice so glavna tarča

Glavni cilj notnullOSX je kraja kriptovalut. Zlonamerna programska oprema išče podatke, povezane s priljubljeno programsko opremo za denarnice, vključno z Atomic Wallet, Bitcoin Core, Electrum, Exodus in Wasabi Wallet.

Prav tako skenira razširitve denarnic v brskalniku in kopira shranjene podatke, vključno s šifriranimi semenskimi frazami. Celo šifrirani podatki denarnice se lahko kasneje izkoristijo z napadi na gesla ali nadaljnjim socialnim inženiringom.

Funkcija zamenjave aplikacij povečuje nevarnost

Za razliko od mnogih tradicionalnih kradljivcev programske opreme lahko notnullOSX nadomesti legitimne aplikacije z zlonamernimi podobnimi aplikacijami. Lahko prenese lažno različico zaupanja vredne aplikacije, kot je programska oprema za denarnice, nadomesti originalno aplikacijo in ohrani isto ikono in videz.

Ko se zažene, je ponarejena aplikacija videti normalno, medtem ko na skrivaj zbira občutljive podatke, kot so fraze za obnovitev denarnice. To funkcijo je mogoče na daljavo omogočiti ali onemogočiti in se običajno uporablja le, če ciljna aplikacija že obstaja v sistemu žrtve.

Več kot tat: vedenje, podobno podganam

notnullOSX deluje bolj kot trojanski konj za oddaljeni dostop (RAT) kot pa kot standardni kradljivec informacij. Vzdržuje stalno povezavo s svojimi operaterji in redno preverja ukaze.

To napadalcem omogoča:

• Pošlji nova navodila po okužbi
• Prenesite in zaženite dodatne zlonamerne module
• Posodobite zmogljivosti ali namestite dodatne koristne tovore
• Ohranite dolgoročni nadzor nad ogroženimi sistemi

Zaradi te prožnosti se lahko okužbe sčasoma razvijajo in postanejo bistveno bolj škodljive.

Kako se distribuira notnullOSX

Zlonamerna programska oprema se širi predvsem z napadi socialnega inženiringa, ki manipulirajo uporabnike, da jo sami namestijo. Žrtvam se lahko prikažejo lažne težave, kot je opozorilo o »zaščitenem dokumentu Google« ali sporočilo o poškodovani aplikaciji macOS. Nato se jim naroči, naj težavo odpravijo z določenimi koraki, taktika, splošno znana kot ClickFix .

Ti koraki pogosto vključujejo izvajanje ukazov v terminalu ali odpiranje zlonamernih datotek DMG. notnullOSX se je distribuiral tudi prek lažnih spletnih mest s programsko opremo, goljufivih portalov za prenos, ugrabljenih YouTube kanalov in lažnih aplikacij, kot so orodja za ozadja, kot je »WallSpace.app«.

Nekatere žrtve so celo vodene skozi postopek ročnega omogočanja celotnega dostopa do diska, kar zlonamerni programski opremi omogoča širok vpogled v napravo.

Končna varnostna ocena

notnullOSX je zelo nevarna grožnja za macOS, ki lahko ukrade podatke brskalnika, kriptovalute, zasebno komunikacijo, gradivo za preverjanje pristnosti in poverilnice razvijalcev. Zaradi modularne zasnove, trajnega daljinskega upravljanja in funkcij zamenjave aplikacij je še posebej resna. Žrtve se lahko soočijo z ogrožanjem računa, krajo identitete, finančno izgubo in nadaljnjo namestitvijo zlonamerne programske opreme. Po odkritju močno priporočamo takojšnjo odstranitev in postopek popolne ponastavitve poverilnic.