NotnullOSX macOS 恶意软件
notnullOSX 是一种使用 Go 语言编写的复杂信息窃取恶意软件家族。它专门针对 macOS 用户,尤其侧重于窃取加密货币和其他敏感数据。攻击者通常通过欺骗性的 ClickFix 活动和植入木马的 DMG 安装文件来传播该恶意软件。如果检测到任何设备上存在该恶意软件,应立即将其清除。
目录
感染后 notnullOSX 的运行方式
一旦安装并获得完全磁盘访问权限,notnullOSX 就能读取系统中存储的大部分文件。它会与远程命令服务器保持通信,并下载独立的恶意模块,每个模块都针对特定任务而构建。
这些临时组件可用于窃取密码、复制文件、收集凭据并扩展恶意软件的功能。由于模块是按需获取的,攻击者可以在初始入侵后不断调整感染方式。
浏览器和个人数据窃取能力
notnullOSX 的主要目标是存储在主流浏览器中的数据。它使用不同的模块从 Google Chrome、Mozilla Firefox 和 Safari 中提取特定类别的信息。
该恶意软件能够窃取:
- 已保存的密码、Cookie、书签和浏览历史记录
- 设备上存储的笔记、Telegram桌面会话数据以及每次对话最多500条消息(包括附件和格式)。
- SSH密钥、云凭证、API令牌和配置文件保存在用户的主文件夹中
被盗信息可能使犯罪分子获得对账户、服务器、云环境和开发平台的访问权限。
加密货币钱包是主要目标
notnullOSX 的主要目标是窃取加密货币。该恶意软件会搜索与常用钱包软件(包括 Atomic Wallet、Bitcoin Core、Electrum、Exodus 和 Wasabi Wallet)关联的数据。
它还会扫描基于浏览器的钱包扩展程序,并复制存储的信息,包括加密的助记词。即使是加密的钱包数据,也可能在之后通过密码攻击或进一步的社会工程手段被利用。
应用替换功能增加了风险
与许多传统窃取程序不同,notnullOSX 可以将合法应用程序替换为恶意仿冒品。它可以下载受信任应用程序(例如钱包软件)的伪造版本,替换原应用,并保留相同的图标和外观。
启动后,伪造的应用程序表面上看起来与普通应用程序无异,但会在后台秘密窃取敏感信息,例如钱包恢复短语。此功能可以远程启用或禁用,通常仅在目标应用程序已存在于受害者系统上时才会使用。
不仅仅是窃贼:类似老鼠的行为
notnullOSX 的功能更像是远程访问木马 (RAT),而非标准的信息窃取程序。它会与操作者保持持续连接,并定期检查以获取命令。
这使得攻击者能够:
- 感染后发送新的指令
- 下载并执行其他恶意模块
- 更新功能或部署额外有效载荷
- 对受损系统保持长期控制
由于这种灵活性,感染会随着时间的推移而演变,并变得更具破坏性。
notnullOSX 的分发方式
这种恶意软件主要通过社交工程攻击传播,攻击者诱骗用户自行安装。受害者可能会看到虚假问题,例如“受保护的 Google 文档”警告或 macOS 应用程序损坏的消息。然后,他们会被指示按照特定步骤修复问题,这种策略被称为ClickFix 。
这些步骤通常涉及在终端中运行命令或打开恶意 DMG 文件。notnullOSX 还通过虚假软件网站、欺诈性下载门户、被劫持的 YouTube 频道以及诸如“WallSpace.app”之类的虚假应用程序进行传播。
有些受害者甚至会被引导手动启用完全磁盘访问权限,从而使恶意软件能够全面了解设备情况。
最终安全评估
notnullOSX 是一种极其危险的 macOS 威胁,能够窃取浏览器数据、加密货币资产、私人通信、身份验证材料和开发者凭证。其模块化设计、持续远程控制和应用程序替换功能使其危害尤为严重。受害者可能面临账户被盗、身份被窃取、经济损失以及进一步恶意软件部署的风险。强烈建议在检测到该威胁后立即将其移除并重置所有凭证。
