ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ Mac NotnullOSX macOS Malware

NotnullOSX macOS Malware

โดย Mezo ใน มัลแวร์ Mac, นักขโมย
แปลเป็น:

notnullOSX เป็นตระกูลมัลแวร์ขโมยข้อมูลที่ซับซ้อน เขียนด้วยภาษาโปรแกรม Go ออกแบบมาเพื่อโจมตีผู้ใช้ macOS โดยเน้นการขโมยสกุลเงินดิจิทัลและข้อมูลสำคัญอื่นๆ ผู้โจมตีมักเผยแพร่ผ่านแคมเปญ ClickFix ที่หลอกลวงและไฟล์ติดตั้ง DMG ที่แฝงด้วยโทรจัน หากตรวจพบในอุปกรณ์ใดๆ ควรลบออกโดยทันที

วิธีการทำงานของ notnullOSX หลังการติดเชื้อ

เมื่อติดตั้งและได้รับสิทธิ์การเข้าถึงดิสก์แบบเต็มแล้ว notnullOSX จะสามารถอ่านไฟล์จำนวนมากที่จัดเก็บอยู่ในระบบได้ มันจะติดต่อสื่อสารกับเซิร์ฟเวอร์คำสั่งระยะไกลและดาวน์โหลดโมดูลที่เป็นอันตรายแยกต่างหาก ซึ่งแต่ละโมดูลถูกสร้างขึ้นเพื่อภารกิจเฉพาะอย่าง

ส่วนประกอบชั่วคราวเหล่านี้สามารถนำไปใช้ในการขโมยรหัสผ่าน คัดลอกไฟล์ รวบรวมข้อมูลประจำตัว และขยายฟังก์ชันการทำงานของมัลแวร์ได้ เนื่องจากโมดูลจะถูกเรียกใช้เมื่อจำเป็น ผู้โจมตีจึงสามารถปรับเปลี่ยนการติดเชื้อได้อย่างต่อเนื่องหลังจากที่เจาะระบบได้ในครั้งแรก

ความสามารถในการป้องกันการขโมยข้อมูลส่วนบุคคลและการใช้งานเบราว์เซอร์

notnullOSX มุ่งเป้าไปที่ข้อมูลที่จัดเก็บอยู่ในเว็บเบราว์เซอร์หลักๆ เป็นอย่างมาก โดยใช้โมดูลต่างๆ ในการดึงข้อมูลเฉพาะประเภทจาก Google Chrome, Mozilla Firefox และ Safari

มัลแวร์นี้มีความสามารถในการขโมยข้อมูลดังต่อไปนี้:

  • รหัสผ่านที่บันทึกไว้ คุกกี้ บุ๊กมาร์ก และประวัติการท่องเว็บ
  • บันทึกที่จัดเก็บไว้ในอุปกรณ์ ข้อมูลเซสชัน Telegram บนเดสก์ท็อป และข้อความสูงสุด 500 ข้อความต่อการสนทนา รวมถึงไฟล์แนบและการจัดรูปแบบ
  • คีย์ SSH, ข้อมูลประจำตัวระบบคลาวด์, โทเค็น API และไฟล์การกำหนดค่าต่างๆ จะถูกบันทึกไว้ในโฟลเดอร์โฮมของผู้ใช้

ข้อมูลที่ถูกขโมยไปนี้อาจทำให้ผู้ร้ายเข้าถึงบัญชี เซิร์ฟเวอร์ สภาพแวดล้อมบนคลาวด์ และแพลตฟอร์มการพัฒนาได้

กระเป๋าเงินคริปโตเคอร์เรนซีเป็นเป้าหมายหลัก

เป้าหมายหลักของ notnullOSX คือการขโมยคริปโตเคอร์เรนซี มัลแวร์นี้จะค้นหาข้อมูลที่เชื่อมโยงกับซอฟต์แวร์กระเป๋าเงินดิจิทัลยอดนิยม เช่น Atomic Wallet, Bitcoin Core, Electrum, Exodus และ Wasabi Wallet

นอกจากนี้ ยังสแกนส่วนขยายกระเป๋าเงินดิจิทัลบนเว็บเบราว์เซอร์และคัดลอกข้อมูลที่จัดเก็บไว้ รวมถึงวลีรหัสลับที่เข้ารหัสไว้ แม้แต่ข้อมูลกระเป๋าเงินดิจิทัลที่เข้ารหัสไว้ก็อาจถูกนำไปใช้ประโยชน์ในภายหลังผ่านการโจมตีด้วยรหัสผ่านหรือวิธีการหลอกลวงทางสังคมอื่นๆ ได้

ฟีเจอร์การเปลี่ยนแอปเพิ่มความเสี่ยง

แตกต่างจากโปรแกรมขโมยข้อมูลแบบดั้งเดิมหลายๆ ตัว notnullOSX สามารถแทนที่แอปพลิเคชันที่ถูกต้องด้วยแอปพลิเคชันเลียนแบบที่เป็นอันตรายได้ มันอาจดาวน์โหลดเวอร์ชันปลอมของแอปพลิเคชันที่น่าเชื่อถือ เช่น ซอฟต์แวร์กระเป๋าเงินดิจิทัล แทนที่แอปพลิเคชันดั้งเดิม และคงไอคอนและรูปลักษณ์เดิมไว้

เมื่อเปิดใช้งาน แอปพลิเคชันปลอมจะแสดงผลเหมือนปกติ แต่ภายในจะแอบเก็บข้อมูลสำคัญ เช่น วลีสำหรับกู้คืนกระเป๋าเงินดิจิทัล คุณสมบัตินี้สามารถเปิดหรือปิดใช้งานจากระยะไกลได้ และโดยทั่วไปจะใช้เฉพาะเมื่อแอปพลิเคชันเป้าหมายติดตั้งอยู่ในระบบของเหยื่อแล้วเท่านั้น

มากกว่าแค่ขโมย: พฤติกรรมคล้ายหนู

notnullOSX ทำงานคล้ายกับโทรจันสำหรับการเข้าถึงระยะไกล (RAT) มากกว่าจะเป็นโปรแกรมขโมยข้อมูลทั่วไป มันจะรักษาการเชื่อมต่อกับผู้ควบคุมอย่างต่อเนื่องและตรวจสอบคำสั่งเป็นประจำ

สิ่งนี้ทำให้ผู้โจมตีสามารถ:

  • ส่งคำแนะนำใหม่หลังจากติดเชื้อ
  • ดาวน์โหลดและเรียกใช้โมดูลที่เป็นอันตรายเพิ่มเติม
  • อัปเดตความสามารถหรือปรับใช้เพย์โหลดเพิ่มเติม
  • รักษาการควบคุมระยะยาวเหนือระบบที่ถูกบุกรุก

เนื่องจากความยืดหยุ่นนี้ การติดเชื้อจึงสามารถเปลี่ยนแปลงไปตามเวลาและก่อให้เกิดความเสียหายมากขึ้นอย่างมาก

วิธีการเผยแพร่ notnullOSX

มัลแวร์นี้แพร่กระจายหลักๆ ผ่านการโจมตีแบบวิศวกรรมสังคมที่หลอกล่อให้ผู้ใช้ติดตั้งมันด้วยตนเอง เหยื่ออาจเห็นปัญหาปลอมๆ เช่น คำเตือน 'เอกสาร Google Doc ที่ได้รับการป้องกัน' หรือข้อความแจ้งว่าแอปพลิเคชัน macOS เสียหาย จากนั้นจะได้รับคำแนะนำให้แก้ไขปัญหาตามขั้นตอนเฉพาะ ซึ่งเป็นกลยุทธ์ที่รู้จักกันอย่างแพร่หลายในชื่อ ClickFix

ขั้นตอนเหล่านั้นมักเกี่ยวข้องกับการเรียกใช้คำสั่งในเทอร์มินัลหรือการเปิดไฟล์ DMG ที่เป็นอันตราย นอกจากนี้ notnullOSX ยังถูกเผยแพร่ผ่านเว็บไซต์ซอฟต์แวร์ปลอม พอร์ทัลดาวน์โหลดที่ฉ้อโกง ช่อง YouTube ที่ถูกแฮ็ก และแอปพลิเคชันปลอม เช่น เครื่องมือเปลี่ยนวอลเปเปอร์อย่าง 'WallSpace.app'

เหยื่อบางรายถูกชักจูงให้เปิดใช้งานการเข้าถึงดิสก์แบบเต็มด้วยตนเอง ซึ่งจะทำให้มัลแวร์สามารถเข้าถึงข้อมูลในอุปกรณ์ได้อย่างกว้างขวาง

การประเมินความปลอดภัยขั้นสุดท้าย

notnullOSX เป็นภัยคุกคามต่อ macOS ที่อันตรายอย่างยิ่ง สามารถขโมยข้อมูลเบราว์เซอร์ สินทรัพย์คริปโตเคอร์เรนซี การสื่อสารส่วนตัว ข้อมูลการตรวจสอบสิทธิ์ และข้อมูลประจำตัวของนักพัฒนาได้ ด้วยการออกแบบแบบโมดูลาร์ การควบคุมระยะไกลอย่างต่อเนื่อง และคุณสมบัติการแทนที่แอปพลิเคชัน ทำให้มันร้ายแรงเป็นพิเศษ เหยื่ออาจเผชิญกับการถูกบุกรุกบัญชี การขโมยข้อมูลส่วนบุคคล การสูญเสียทางการเงิน และการแพร่กระจายของมัลแวร์เพิ่มเติม ขอแนะนำอย่างยิ่งให้ลบออกทันทีและทำการรีเซ็ตข้อมูลประจำตัวทั้งหมดหลังจากตรวจพบ

 

มาแรง

Orionnero.co.in

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การใช้ความระมัดระวังขณะท่องเว็บไม่ใช่เรื่องที่เลือกได้อีกต่อไป แต่เป็นสิ่งจำเป็น เว็บไซต์ที่ไม่พึงประสงค์มีความซับซ้อนมากขึ้นเรื่อยๆ และมักใช้กลยุทธ์หลอกลวงเพื่อชักจูงผู้ใช้ให้ลดความปลอดภัยของตนเอง...

Glamconnectnetwork.com

เว็บไซต์อันธพาล, แอดแวร์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุว่า Glamconnectnetwork.com เป็นเว็บไซต์ที่ไม่น่าเชื่อถือและหลอกลวง เว็บไซต์นี้ไม่เกี่ยวข้องกับบริษัท องค์กร หรือหน่วยงานด้านความปลอดภัยที่เป็นที่ยอมรับใดๆ...

เข้าชมมากที่สุด

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,206
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...

เอพอนเนอร์ดอทคอม

ปัญหา
20,630
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...
กำลังโหลด...