NotnullOSX macOS Шкідливе програмне забезпечення
notnullOSX — це складне сімейство шкідливих програм для крадіжки інформації, написане мовою програмування Go. Воно розроблене для користувачів macOS, з акцентом на крадіжці криптовалюти та інших конфіденційних даних. Зловмисники зазвичай поширюють його через шахрайські кампанії ClickFix та троянські інсталяційні файли DMG. У разі виявлення на будь-якому пристрої його слід негайно видалити.
Зміст
Як працює notnullOSX після зараження
Після встановлення та надання повного доступу до диска, notnullOSX може зчитувати значну частину файлів, що зберігаються в системі. Він підтримує зв'язок з віддаленим командним сервером і завантажує окремі шкідливі модулі, кожен з яких створений для виконання певного завдання.
Ці тимчасові компоненти можна використовувати для крадіжки паролів, копіювання файлів, збору облікових даних та розширення функціональності шкідливого програмного забезпечення. Оскільки модулі завантажуються за потреби, зловмисники можуть постійно адаптувати зараження після початкової компрометації.
Можливості браузера та крадіжки персональних даних
notnullOSX активно атакує дані, що зберігаються в основних веббраузерах. Різні модулі використовуються для вилучення певних категорій інформації з Google Chrome, Mozilla Firefox та Safari.
Шкідливе програмне забезпечення здатне красти:
- Збережені паролі, файли cookie, закладки та історія переглядів
- Нотатки, що зберігаються на пристрої, дані сеансу Telegram Desktop та до 500 повідомлень у кожній розмові, включаючи вкладення та форматування
- Ключі SSH, хмарні облікові дані, токени API та файли конфігурації, збережені в домашній папці користувача
Ця викрадена інформація може надати злочинцям доступ до облікових записів, серверів, хмарних середовищ та платформ розробки.
Криптовалютні гаманці є основною мішенню
Головною метою notnullOSX є крадіжка криптовалюти. Шкідливе програмне забезпечення шукає дані, пов'язані з популярним програмним забезпеченням для гаманців, включаючи Atomic Wallet, Bitcoin Core, Electrum, Exodus та Wasabi Wallet.
Він також сканує розширення гаманців на основі браузера та копіює збережену інформацію, включаючи зашифровані основні фрази. Навіть зашифровані дані гаманця можуть бути пізніше використані для атак на паролі або подальшої соціальної інженерії.
Функція заміни програм збільшує небезпеку
На відміну від багатьох традиційних програм-викрадачів, notnullOSX може замінювати легітимні програми шкідливими аналогами. Він може завантажити підроблену версію перевіреної програми, такої як програмне забезпечення для гаманця, замінити оригінальну програму та зберегти ту саму іконку та зовнішній вигляд.
Після запуску підроблений додаток виглядає нормально, але таємно збирає конфіденційну інформацію, таку як фрази для відновлення гаманця. Цю функцію можна вмикати або вимикати віддалено, і зазвичай вона використовується лише тоді, коли цільовий додаток вже існує в системі жертви.
Більше ніж злодій: поведінка, подібна до поведінки ЩУРА
notnullOSX функціонує радше як троян віддаленого доступу (RAT), ніж як стандартний викрадач інформації. Він підтримує постійне з'єднання зі своїми операторами та регулярно перевіряє наявність команд.
Це дозволяє зловмисникам:
- Надіслати нові інструкції після зараження
- Завантаження та виконання додаткових шкідливих модулів
- Оновіть можливості або розгорніть додаткові корисні навантаження
- Зберігайте довгостроковий контроль над скомпрометованими системами
Через цю гнучкість інфекції можуть з часом розвиватися та ставати значно більш шкідливими.
Як розповсюджується notnullOSX
Шкідливе програмне забезпечення поширюється переважно за допомогою атак соціальної інженерії, які маніпулюють користувачами, змушуючи їх самостійно встановлювати його. Жертвам можуть показувати фальшиві проблеми, такі як попередження про «захищений документ Google» або повідомлення про пошкоджену програму macOS. Потім їм надається інструкція виправити проблему за допомогою певних кроків, тактика, широко відома як ClickFix .
Ці кроки часто включають виконання команд у Терміналі або відкриття шкідливих DMG-файлів. notnullOSX також поширюється через підроблені веб-сайти програмного забезпечення, шахрайські портали завантаження, викрадені канали YouTube та фальшиві програми, такі як інструменти для створення шпалер, такі як «WallSpace.app».
Деяким жертвам навіть допомагають вручну ввімкнути повний доступ до диска, що надає шкідливому програмному забезпеченню широку видимість пристрою.
Остаточна оцінка безпеки
notnullOSX — це надзвичайно небезпечна загроза для macOS, здатна красти дані браузера, криптовалютні активи, приватні повідомлення, матеріали для автентифікації та облікові дані розробників. Її модульна конструкція, постійне дистанційне керування та функції заміни програм роблять її особливо небезпечною. Жертви можуть зіткнутися з компрометацією облікового запису, крадіжкою особистих даних, фінансовими втратами та подальшим розгортанням шкідливого програмного забезпечення. Після виявлення наполегливо рекомендується негайне видалення та повне скидання облікових даних.
