Rabattoffert för flera licenser
Hotdatabas Mac Malware NotnullOSX macOS-skadlig programvara

NotnullOSX macOS-skadlig programvara

Med Mezo år Mac Malware, Stjälare
Översätt till:

notnullOSX är en sofistikerad familj av informationsstöldande skadlig kod skriven i programmeringsspråket Go. Den är utformad för att rikta in sig på macOS-användare, med ett starkt fokus på att stjäla kryptovaluta och annan känslig information. Hotaktörer distribuerar den ofta genom vilseledande ClickFix-kampanjer och trojanska DMG-installationsfiler. Om den upptäcks på någon enhet bör den tas bort utan dröjsmål.

Hur notnullOSX fungerar efter infektion

När det väl är installerat och har beviljats fullständig diskåtkomst kan notnullOSX läsa en stor del av filer som lagras på systemet. Det upprätthåller kommunikationen med en fjärrkommandoserver och laddar ner separata skadliga moduler, var och en byggd för en specifik uppgift.

Dessa tillfälliga komponenter kan användas för att stjäla lösenord, kopiera filer, samla in inloggningsuppgifter och utöka skadlig programvaras funktionalitet. Eftersom moduler hämtas vid behov kan angripare kontinuerligt anpassa infektionen efter den initiala intrånget.

Funktioner för stöld av webbläsare och personuppgifter

notnullOSX riktar sig i hög grad mot data som lagras i de flesta webbläsare. Olika moduler används för att extrahera specifika kategorier av information från Google Chrome, Mozilla Firefox och Safari.

Skadlig kod kan stjäla:

  • Sparade lösenord, cookies, bokmärken och webbhistorik
  • Anteckningar lagrade på enheten, Telegram Desktop-sessionsdata och upp till 500 meddelanden per konversation, inklusive bilagor och formatering
  • SSH-nycklar, molnuppgifter, API-tokens och konfigurationsfiler sparade i användarens hemmapp

Denna stulna information kan ge brottslingar tillgång till konton, servrar, molnmiljöer och utvecklingsplattformar.

Kryptovalutaplånböcker är ett primärt mål

Ett huvudmål med notnullOSX är kryptovalutastöld. Skadlig programvara söker efter data kopplad till populär plånboksprogramvara, inklusive Atomic Wallet, Bitcoin Core, Electrum, Exodus och Wasabi Wallet.

Den skannar även webbläsarbaserade plånbokstillägg och kopierar lagrad information, inklusive krypterade såfraser. Även krypterad plånboksdata kan senare utnyttjas genom lösenordsattacker eller ytterligare social ingenjörskonst.

Funktionen för appbyte ökar faran

Till skillnad från många traditionella stealers kan notnullOSX ersätta legitima applikationer med skadliga kopior. Den kan ladda ner en falsk version av en betrodd applikation, till exempel plånboksprogramvara, ersätta den ursprungliga appen och behålla samma ikon och utseende.

När den förfalskade applikationen startas verkar den normal samtidigt som den i hemlighet samlar in känslig information, såsom fraser för plånboksåterställning. Den här funktionen kan aktiveras eller inaktiveras på distans och används vanligtvis endast när den riktade applikationen redan finns på offrets system.

Mer än en stjälare: RÅTT-liknande beteende

notnullOSX fungerar mer som en fjärråtkomsttrojan (RAT) än en vanlig informationsstjälare. Den upprätthåller en permanent anslutning till sina operatörer och kontrollerar regelbundet om det finns kommandon.

Detta gör det möjligt för angripare att:

  • Skicka nya instruktioner efter infektion
  • Ladda ner och kör ytterligare skadliga moduler
  • Uppdatera funktioner eller driftsätt extra nyttolaster
  • Behåll långsiktig kontroll över komprometterade system

På grund av denna flexibilitet kan infektioner utvecklas över tid och bli betydligt mer skadliga.

Hur notnullOSX distribueras

Skadlig programvara sprids främst genom social engineering-attacker som manipulerar användare att installera den själva. Offren kan visas falska problem, till exempel en varning om "skyddat Google-dokument" eller ett meddelande om ett skadat macOS-program. De instrueras sedan att åtgärda problemet genom specifika steg, en taktik allmänt känd som ClickFix .

Dessa steg innebär ofta att köra kommandon i Terminal eller öppna skadliga DMG-filer. notnullOSX har också distribuerats via falska programvaruwebbplatser, bedrägliga nedladdningsportaler, kapade YouTube-kanaler och falska applikationer som bakgrundsbildsverktyg som 'WallSpace.app'.

Vissa offer guidas till och med genom att manuellt aktivera Full Disk Access, vilket ger skadlig programvara bred insyn i enheten.

Slutlig säkerhetsbedömning

notnullOSX är ett mycket farligt macOS-hot som kan stjäla webbläsardata, kryptovalutatillgångar, privat kommunikation, autentiseringsmaterial och utvecklaruppgifter. Dess modulära design, ihållande fjärrkontroll och funktioner för programbyte gör det särskilt allvarligt. Offren kan drabbas av kontokompromettering, identitetsstöld, ekonomisk förlust och ytterligare distribution av skadlig kod. Omedelbar borttagning och en fullständig återställning av inloggningsuppgifter rekommenderas starkt efter upptäckt.

 

Trendigt

Mest sedda

Läser in...