Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mac malware notnullOSX macOS Malware

notnullOSX macOS Malware

Nga MezoMac malware, Vjedhësit
Përkthe në:

notnullOSX është një familje e sofistikuar programesh keqdashëse për vjedhjen e informacionit, e shkruar në gjuhën e programimit Go. Është projektuar për të synuar përdoruesit e macOS, me një fokus të fortë në vjedhjen e kriptomonedhave dhe të dhënave të tjera të ndjeshme. Aktorët kërcënues zakonisht e shpërndajnë atë përmes fushatave mashtruese ClickFix dhe skedarëve të instalimit DMG të trojanizuar. Nëse zbulohet në ndonjë pajisje, duhet të hiqet pa vonesë.

Si funksionon notnullOSX pas infektimit

Pasi instalohet dhe i jepet Qasje e Plotë në Disk, notnullOSX mund të lexojë një pjesë të madhe të skedarëve të ruajtur në sistem. Ai mban komunikim me një server komandash në distancë dhe shkarkon module të veçanta keqdashëse, secila e ndërtuar për një detyrë specifike.

Këto komponentë të përkohshëm mund të përdoren për të vjedhur fjalëkalime, për të kopjuar skedarë, për të mbledhur kredenciale dhe për të zgjeruar funksionalitetin e malware-it. Meqenëse modulet merren sipas nevojës, sulmuesit mund ta përshtatin vazhdimisht infeksionin pas kompromentimit fillestar.

Aftësitë e Vjedhjes së të Dhënave Personale dhe të Shfletuesit

notnullOSX synon kryesisht të dhënat e ruajtura në shfletuesit kryesorë të internetit. Module të ndryshme përdoren për të nxjerrë kategori specifike informacioni nga Google Chrome, Mozilla Firefox dhe Safari.

Malware është i aftë të vjedhë:

  • Fjalëkalimet e ruajtura, kukitë, faqeshënuesit dhe historiku i shfletimit
  • Shënime të ruajtura në pajisje, të dhëna të sesionit të Telegram Desktop dhe deri në 500 mesazhe për bisedë, duke përfshirë bashkëngjitjet dhe formatimin
  • Çelësat SSH, kredencialet e cloud-it, tokenët API dhe skedarët e konfigurimit të ruajtur në dosjen kryesore të përdoruesit

Ky informacion i vjedhur mund t'u ofrojë kriminelëve qasje në llogari, servera, mjedise cloud dhe platforma zhvillimi.

Portofolet e kriptomonedhave janë një objektiv kryesor

Një objektiv kryesor i notnullOSX është vjedhja e kriptomonedhave. Malware kërkon të dhëna të lidhura me softuerë të njohur për portofolet, duke përfshirë Atomic Wallet, Bitcoin Core, Electrum, Exodus dhe Wasabi Wallet.

Gjithashtu skanon zgjerimet e portofolit të bazuara në shfletues dhe kopjon informacionin e ruajtur, duke përfshirë frazat fillestare të enkriptuara. Edhe të dhënat e enkriptuara të portofolit mund të shfrytëzohen më vonë përmes sulmeve me fjalëkalim ose inxhinierisë së mëtejshme sociale.

Funksioni i Zëvendësimit të Aplikacionit Rrit Rrezikun

Ndryshe nga shumë programe vjedhëse tradicionale, notnullOSX mund të zëvendësojë aplikacionet legjitime me aplikacione të ngjashme me to. Mund të shkarkojë një version të rremë të një aplikacioni të besuar, siç është softueri i portofolit, të zëvendësojë aplikacionin origjinal dhe të ruajë të njëjtën ikonë dhe pamje.

Kur hapet, aplikacioni i falsifikuar duket normal ndërsa mbledh fshehurazi informacione të ndjeshme, të tilla si frazat e rikuperimit të portofolit. Kjo veçori mund të aktivizohet ose çaktivizohet nga distanca dhe zakonisht përdoret vetëm kur aplikacioni i synuar ekziston tashmë në sistemin e viktimës.

Më shumë se një hajdut: Sjellje e ngjashme me RAT

notnullOSX funksionon më shumë si një Trojan me Qasje në Remote (RAT) sesa si një vjedhës informacioni standard. Ai mban një lidhje të vazhdueshme me operatorët e tij dhe kontrollon rregullisht për komanda.

Kjo u mundëson sulmuesve të:

  • Dërgoni udhëzime të reja pas infektimit
  • Shkarkoni dhe ekzekutoni module shtesë keqdashëse
  • Përditësoni aftësitë ose vendosni ngarkesa shtesë
  • Mbani kontrollin afatgjatë mbi sistemet e kompromentuara

Për shkak të kësaj fleksibiliteti, infeksionet mund të evoluojnë me kalimin e kohës dhe të bëhen dukshëm më të dëmshme.

Si shpërndahet notnullOSX

Malware përhapet kryesisht përmes sulmeve të inxhinierisë sociale që manipulojnë përdoruesit që ta instalojnë vetë. Viktimave mund t'u shfaqen probleme të rreme, të tilla si një paralajmërim 'Google Doc i mbrojtur' ose një mesazh i një aplikacioni macOS të dëmtuar. Më pas ata udhëzohen ta rregullojnë problemin përmes hapave specifikë, një taktikë e njohur gjerësisht si ClickFix .

Këto hapa shpesh përfshijnë ekzekutimin e komandave në Terminal ose hapjen e skedarëve DMG me qëllim të keq. notnullOSX është shpërndarë gjithashtu përmes faqeve të internetit të rreme të softuerëve, portaleve mashtruese të shkarkimit, kanaleve të rrëmbyera të YouTube dhe aplikacioneve të rreme siç janë mjetet e sfondit si 'WallSpace.app'.

Disa viktima madje udhëzohen që të aktivizojnë manualisht "Qasjen e plotë në disk", duke i dhënë malware-it dukshmëri të gjerë në pajisje.

Vlerësimi përfundimtar i sigurisë

notnullOSX është një kërcënim shumë i rrezikshëm për macOS, i aftë të vjedhë të dhënat e shfletuesit, asetet e kriptomonedhave, komunikimet private, materialet e vërtetimit dhe kredencialet e zhvilluesve. Dizajni i tij modular, kontrolli i vazhdueshëm në distancë dhe veçoritë e zëvendësimit të aplikacioneve e bëjnë atë veçanërisht të rëndë. Viktimat mund të përballen me kompromentim të llogarisë, vjedhje identiteti, humbje financiare dhe vendosje të mëtejshme të programeve keqdashëse. Heqja e menjëhershme dhe një proces i plotë i rivendosjes së kredencialeve rekomandohen fuqimisht pas zbulimit.

 

Në trend

Më e shikuara

Po ngarkohet...