NotnullOSX macOS Malware
Ang notnullOSX ay isang sopistikadong pamilya ng malware na nagnanakaw ng impormasyon na nakasulat sa wikang programming na Go. Ito ay dinisenyo upang i-target ang mga gumagamit ng macOS, na may malaking pokus sa pagnanakaw ng cryptocurrency at iba pang sensitibong data. Karaniwang ipinamamahagi ito ng mga threat actor sa pamamagitan ng mga mapanlinlang na kampanya ng ClickFix at mga trojanized na DMG installation file. Kung matutukoy sa anumang device, dapat itong alisin agad.
Talaan ng mga Nilalaman
Paano Gumagana ang notnullOSX Pagkatapos ng Impeksyon
Kapag na-install at nabigyan ng Full Disk Access, mababasa ng notnullOSX ang malaking bahagi ng mga file na nakaimbak sa system. Pinapanatili nito ang komunikasyon sa isang remote command server at nagda-download ng magkakahiwalay na malisyosong module, bawat isa ay ginawa para sa isang partikular na gawain.
Ang mga pansamantalang bahaging ito ay maaaring gamitin upang magnakaw ng mga password, kumopya ng mga file, mangalap ng mga kredensyal, at palawakin ang functionality ng malware. Dahil ang mga module ay kinukuha kung kinakailangan, maaaring patuloy na iakma ng mga attacker ang impeksyon pagkatapos ng unang pagkakompromiso.
Mga Kakayahan sa Pagnanakaw ng Browser at Personal na Data
Mahigpit na tinatarget ng notnullOSX ang datos na nakaimbak sa mga pangunahing web browser. Iba't ibang module ang ginagamit upang kumuha ng mga partikular na kategorya ng impormasyon mula sa Google Chrome, Mozilla Firefox, at Safari.
Ang malware ay may kakayahang magnakaw ng:
- Mga naka-save na password, cookies, bookmark, at history ng pag-browse
- Mga talang nakaimbak sa device, data ng sesyon ng Telegram Desktop, at hanggang 500 mensahe bawat pag-uusap, kabilang ang mga attachment at formatting
- Mga SSH key, cloud credential, API token, at mga configuration file na naka-save sa home folder ng user
Ang ninakaw na impormasyong ito ay maaaring magbigay sa mga kriminal ng access sa mga account, server, cloud environment, at mga development platform.
Ang mga Cryptocurrency Wallet ay Pangunahing Target
Ang isang pangunahing layunin ng notnullOSX ay ang pagnanakaw ng mga cryptocurrency. Hinahanap ng malware ang data na naka-link sa mga sikat na wallet software, kabilang ang Atomic Wallet, Bitcoin Core, Electrum, Exodus, at Wasabi Wallet.
Ini-scan din nito ang mga extension ng wallet na nakabatay sa browser at kinokopya ang nakaimbak na impormasyon, kabilang ang mga naka-encrypt na seed phrase. Kahit ang naka-encrypt na data ng wallet ay maaaring magamit sa ibang pagkakataon sa pamamagitan ng mga pag-atake sa password o karagdagang social engineering.
Pinapataas ng Tampok na Pagpapalit ng App ang Panganib
Hindi tulad ng maraming tradisyonal na magnanakaw, kayang palitan ng notnullOSX ang mga lehitimong application ng mga malisyosong kamukha. Maaari itong mag-download ng pekeng bersyon ng isang mapagkakatiwalaang application, tulad ng wallet software, palitan ang orihinal na app, at panatilihin ang parehong icon at hitsura.
Kapag inilunsad, ang pekeng aplikasyon ay tila normal habang palihim na kumukuha ng sensitibong impormasyon tulad ng mga parirala sa pagbawi ng wallet. Ang feature na ito ay maaaring malayuang paganahin o huwag paganahin at karaniwang ginagamit lamang kapag ang target na aplikasyon ay umiiral na sa sistema ng biktima.
Higit Pa sa Isang Magnanakaw: Pag-uugaling Parang Daga
Ang notnullOSX ay gumagana na parang isang Remote Access Trojan (RAT) kaysa sa isang karaniwang infostealer. Nagpapanatili ito ng isang patuloy na koneksyon sa mga operator nito at regular na nagsusuri para sa mga utos.
Nagbibigay-daan ito sa mga umaatake na:
- Magpadala ng mga bagong tagubilin pagkatapos ng impeksyon
- Mag-download at magpatakbo ng mga karagdagang malisyosong module
- I-update ang mga kakayahan o mag-deploy ng mga karagdagang payload
- Panatilihin ang pangmatagalang kontrol sa mga nakompromisong sistema
Dahil sa kakayahang umangkop na ito, ang mga impeksyon ay maaaring umunlad sa paglipas ng panahon at maging mas mapanganib.
Paano Ipinamamahagi ang notnullOSX
Ang malware ay pangunahing kumakalat sa pamamagitan ng mga social engineering attack na nagmamanipula sa mga user na i-install ito mismo. Ang mga biktima ay maaaring magpakita ng mga pekeng problema, tulad ng babala na 'protektadong Google Doc' o isang mensahe ng sirang macOS application. Pagkatapos ay tuturuan silang ayusin ang isyu sa pamamagitan ng mga partikular na hakbang, isang taktika na kilala bilang ClickFix .
Ang mga hakbang na iyon ay kadalasang kinabibilangan ng pagpapatakbo ng mga command sa Terminal o pagbubukas ng mga malisyosong DMG file. Ang notnullOSX ay naipakalat din sa pamamagitan ng mga pekeng website ng software, mga mapanlinlang na download portal, mga na-hijack na YouTube channel, at mga pekeng application tulad ng mga wallpaper tool tulad ng 'WallSpace.app.'
Ang ilang biktima ay ginagabayan pa nga sa pamamagitan ng manu-manong pagpapagana ng Full Disk Access, na nagbibigay sa malware ng malawak na visibility sa device.
Pangwakas na Pagtatasa ng Seguridad
Ang notnullOSX ay isang lubhang mapanganib na banta sa macOS na may kakayahang magnakaw ng data ng browser, mga asset ng cryptocurrency, mga pribadong komunikasyon, mga materyal sa pagpapatotoo, at mga kredensyal ng developer. Ang modular na disenyo, patuloy na remote control, at mga tampok ng pagpapalit ng application ay lalong nagpapalala nito. Ang mga biktima ay maaaring maharap sa pagkompromiso ng account, pagnanakaw ng pagkakakilanlan, pagkalugi sa pananalapi, at karagdagang pag-deploy ng malware. Ang agarang pag-alis at isang buong proseso ng pag-reset ng kredensyal ay lubos na inirerekomenda pagkatapos matukoy.
