Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Mac NotnullOSX macOS Malware

NotnullOSX macOS Malware

Đến năm Mezo năm Phần mềm độc hại Mac, Kẻ trộm
Dịch sang:

notnullOSX là một họ phần mềm độc hại tinh vi chuyên đánh cắp thông tin, được viết bằng ngôn ngữ lập trình Go. Nó được thiết kế để nhắm mục tiêu vào người dùng macOS, đặc biệt tập trung vào việc đánh cắp tiền điện tử và các dữ liệu nhạy cảm khác. Các tác nhân đe dọa thường phát tán nó thông qua các chiến dịch ClickFix lừa đảo và các tệp cài đặt DMG bị nhiễm mã độc Trojan. Nếu phát hiện trên bất kỳ thiết bị nào, cần phải xóa bỏ ngay lập tức.

Cách notnullOSX hoạt động sau khi bị nhiễm virus

Sau khi được cài đặt và cấp quyền truy cập toàn bộ ổ đĩa, notnullOSX có thể đọc một lượng lớn các tệp được lưu trữ trên hệ thống. Nó duy trì liên lạc với máy chủ điều khiển từ xa và tải xuống các mô-đun độc hại riêng biệt, mỗi mô-đun được xây dựng cho một nhiệm vụ cụ thể.

Các thành phần tạm thời này có thể được sử dụng để đánh cắp mật khẩu, sao chép tập tin, thu thập thông tin đăng nhập và mở rộng chức năng của phần mềm độc hại. Vì các mô-đun được tải xuống khi cần thiết, kẻ tấn công có thể liên tục điều chỉnh quá trình lây nhiễm sau khi xâm nhập ban đầu.

Khả năng đánh cắp dữ liệu cá nhân và trình duyệt

notnullOSX tập trung mạnh vào dữ liệu được lưu trữ trong các trình duyệt web chính. Các mô-đun khác nhau được sử dụng để trích xuất các loại thông tin cụ thể từ Google Chrome, Mozilla Firefox và Safari.

Phần mềm độc hại này có khả năng đánh cắp:

  • Mật khẩu đã lưu, cookie, dấu trang và lịch sử duyệt web
  • Ghi chú được lưu trữ trên thiết bị, dữ liệu phiên Telegram Desktop và tối đa 500 tin nhắn mỗi cuộc trò chuyện, bao gồm cả tệp đính kèm và định dạng.
  • Các khóa SSH, thông tin đăng nhập đám mây, mã thông báo API và các tệp cấu hình được lưu trong thư mục chính của người dùng.

Thông tin bị đánh cắp này có thể cung cấp cho tội phạm quyền truy cập vào tài khoản, máy chủ, môi trường đám mây và nền tảng phát triển.

Ví tiền điện tử là mục tiêu chính

Mục tiêu chính của notnullOSX là đánh cắp tiền điện tử. Phần mềm độc hại này tìm kiếm dữ liệu liên kết với các phần mềm ví điện tử phổ biến, bao gồm Atomic Wallet, Bitcoin Core, Electrum, Exodus và Wasabi Wallet.

Nó cũng quét các tiện ích mở rộng ví dựa trên trình duyệt và sao chép thông tin được lưu trữ, bao gồm cả cụm từ hạt giống được mã hóa. Ngay cả dữ liệu ví được mã hóa cũng có thể bị khai thác sau này thông qua các cuộc tấn công mật khẩu hoặc các kỹ thuật lừa đảo xã hội khác.

Tính năng thay thế ứng dụng làm tăng nguy hiểm

Không giống như nhiều phần mềm đánh cắp ứng dụng truyền thống, notnullOSX có thể thay thế các ứng dụng hợp pháp bằng các ứng dụng giả mạo độc hại. Nó có thể tải xuống một phiên bản giả mạo của một ứng dụng đáng tin cậy, chẳng hạn như phần mềm ví điện tử, thay thế ứng dụng gốc và giữ nguyên biểu tượng cũng như giao diện.

Khi khởi chạy, ứng dụng giả mạo trông bình thường trong khi bí mật thu thập thông tin nhạy cảm như cụm từ khôi phục ví. Tính năng này có thể được bật hoặc tắt từ xa và thường chỉ được sử dụng khi ứng dụng mục tiêu đã tồn tại trên hệ thống của nạn nhân.

Không chỉ là kẻ trộm: Hành vi giống chuột

notnullOSX hoạt động giống như một Trojan truy cập từ xa (RAT) hơn là một phần mềm đánh cắp thông tin thông thường. Nó duy trì kết nối liên tục với người điều khiển và thường xuyên kiểm tra để nhận lệnh.

Điều này cho phép kẻ tấn công:

  • Gửi hướng dẫn mới sau khi nhiễm bệnh
  • Tải xuống và thực thi các mô-đun độc hại bổ sung
  • Nâng cấp khả năng hoặc triển khai thêm các gói phần mềm bổ sung.
  • Duy trì quyền kiểm soát lâu dài đối với các hệ thống bị xâm phạm.

Do tính linh hoạt này, các bệnh nhiễm trùng có thể tiến triển theo thời gian và trở nên nguy hiểm hơn đáng kể.

Hệ điều hành notnullOSX được phân phối như thế nào?

Phần mềm độc hại này chủ yếu lây lan thông qua các cuộc tấn công kỹ thuật xã hội, thao túng người dùng tự cài đặt nó. Nạn nhân có thể thấy các vấn đề giả mạo, chẳng hạn như cảnh báo "Tài liệu Google được bảo vệ" hoặc thông báo ứng dụng macOS bị hỏng. Sau đó, họ được hướng dẫn khắc phục sự cố thông qua các bước cụ thể, một chiến thuật được biết đến rộng rãi với tên gọi ClickFix .

Các bước đó thường bao gồm chạy các lệnh trong Terminal hoặc mở các tệp DMG độc hại. notnullOSX cũng được phân phối thông qua các trang web phần mềm giả mạo, các cổng tải xuống gian lận, các kênh YouTube bị chiếm đoạt và các ứng dụng giả mạo như công cụ hình nền như 'WallSpace.app'.

Một số nạn nhân thậm chí còn được hướng dẫn bật chế độ Truy cập Toàn bộ ổ đĩa theo cách thủ công, cho phép phần mềm độc hại có quyền truy cập rộng rãi vào thiết bị.

Đánh giá an ninh cuối cùng

notnullOSX là một mối đe dọa cực kỳ nguy hiểm đối với macOS, có khả năng đánh cắp dữ liệu trình duyệt, tài sản tiền điện tử, thông tin liên lạc riêng tư, thông tin xác thực và thông tin đăng nhập của nhà phát triển. Thiết kế dạng mô-đun, khả năng điều khiển từ xa liên tục và tính năng thay thế ứng dụng khiến nó trở nên đặc biệt nguy hiểm. Nạn nhân có thể phải đối mặt với việc bị xâm phạm tài khoản, đánh cắp danh tính, mất mát tài chính và bị triển khai thêm phần mềm độc hại. Việc gỡ bỏ ngay lập tức và thực hiện quy trình đặt lại thông tin đăng nhập đầy đủ được khuyến nghị mạnh mẽ sau khi phát hiện.

 

xu hướng

Xem nhiều nhất

Đang tải...