Попуст за више лиценци
Тхреат Датабасе Мац малвер NotnullOSX macOS Злонамерни софтвер

NotnullOSX macOS Злонамерни софтвер

До Mezo. у Мац малвер, Крадљивци
Преведи на:

notnullOSX је софистицирана породица злонамерних програма за крађу информација, написана у програмском језику Go. Дизајнирана је да циља кориснике macOS-а, са снажним фокусом на крађу криптовалута и других осетљивих података. Претње га обично дистрибуирају путем обмањујућих ClickFix кампања и тројанских DMG инсталационих датотека. Ако се открије на било ком уређају, треба га без одлагања уклонити.

Како notnullOSX функционише након инфекције

Једном инсталиран и одобрен му је потпуни приступ диску, notnullOSX може да чита велики део датотека сачуваних на систему. Одржава комуникацију са удаљеним командним сервером и преузима одвојене злонамерне модуле, сваки направљен за одређени задатак.

Ове привремене компоненте могу се користити за крађу лозинки, копирање датотека, прикупљање акредитива и проширивање функционалности злонамерног софтвера. Пошто се модули преузимају по потреби, нападачи могу континуирано прилагођавати инфекцију након почетног угрожавања.

Могућности крађе прегледача и личних података

notnullOSX се снажно фокусира на податке сачуване у главним веб прегледачима. Различити модули се користе за издвајање одређених категорија информација из Google Chrome-а, Mozilla Firefox-а и Safari-ја.

Злонамерни софтвер је способан да украде:

  • Сачуване лозинке, колачићи, обележивачи и историја прегледања
  • Белешке сачуване на уређају, подаци сесије Телеграм Десктоп-а и до 500 порука по разговору, укључујући прилоге и форматирање
  • SSH кључеви, акредитиви за облак, API токени и конфигурационе датотеке сачувани у кућној фасцикли корисника

Ове украдене информације могу криминалцима омогућити приступ налозима, серверима, облачним окружењима и развојним платформама.

Криптовалутни новчаници су примарна мета

Главни циљ notnullOSX-а је крађа криптовалута. Злонамерни софтвер тражи податке повезане са популарним софтвером за новчанике, укључујући Atomic Wallet, Bitcoin Core, Electrum, Exodus и Wasabi Wallet.

Такође скенира екстензије новчаника засноване на прегледачу и копира сачуване информације, укључујући шифроване семенске фразе. Чак и шифровани подаци новчаника могу касније бити искоришћени путем напада лозинком или даљег социјалног инжењеринга.

Функција замене апликација повећава опасност

За разлику од многих традиционалних крађа, notnullOSX може да замени легитимне апликације злонамерним сличним апликацијама. Може да преузме лажну верзију поуздане апликације, као што је софтвер за новчаник, замени оригиналну апликацију и задржи исту икону и изглед.

Када се покрене, фалсификована апликација изгледа нормално док тајно прикупља осетљиве информације као што су фразе за опоравак новчаника. Ова функција се може даљински омогућити или онемогућити и обично се користи само када циљана апликација већ постоји на систему жртве.

Више од крадљивца: понашање слично пацовима

notnullOSX функционише више као тројански кон за удаљени приступ (RAT) него као стандардни крађа информација. Одржава сталну везу са својим оператерима и редовно проверава команде.

Ово омогућава нападачима да:

  • Пошаљите нова упутства након инфекције
  • Преузмите и покрените додатне злонамерне модуле
  • Ажурирајте могућности или распоредите додатне корисне оптерећења
  • Одржавајте дугорочну контролу над угроженим системима

Због ове флексибилности, инфекције се могу временом развијати и постати знатно штетније.

Како се дистрибуира notnullOSX

Злонамерни софтвер се првенствено шири путем напада социјалног инжењеринга који манипулишу корисницима да га сами инсталирају. Жртвама се могу приказивати лажни проблеми, као што је упозорење о „заштићеном Google документу“ или порука о оштећеној macOS апликацији. Затим им се налаже да реше проблем кроз одређене кораке, тактика широко позната као ClickFix .

Ти кораци често укључују покретање команди у Терминалу или отварање злонамерних DMG датотека. notnullOSX се такође дистрибуира путем лажних веб локација са софтвером, лажних портала за преузимање, отетих YouTube канала и лажних апликација као што су алати за позадине попут „WallSpace.app“.

Неке жртве су чак вођене кроз ручно омогућавање потпуног приступа диску, што злонамерном софтверу даје широку видљивост на уређају.

Коначна процена безбедности

notnullOSX је изузетно опасна претња за macOS, способна да украде податке прегледача, криптовалуте, приватне комуникације, материјал за аутентификацију и програмерске акредитиве. Њен модуларни дизајн, трајно даљинско управљање и функције замене апликација чине је посебно озбиљном. Жртве се могу суочити са компромитовањем налога, крађом идентитета, финансијским губитком и даљим распоређивањем злонамерног софтвера. Након откривања, топло се препоручује тренутно уклањање и потпуни процес ресетовања акредитива.

 

У тренду

Најгледанији

Учитавање...