NotnullOSX macOS 惡意軟體
notnullOSX 是一種使用 Go 語言編寫的複雜資訊竊取惡意軟體家族。它專門針對 macOS 用戶,尤其專注於竊取加密貨幣和其他敏感資料。攻擊者通常透過欺騙性的 ClickFix 活動和植入木馬的 DMG 安裝檔案來傳播該惡意軟體。如果偵測到任何裝置上存在該惡意軟體,應立即將其清除。
目錄
感染後 notnullOSX 的運作方式
一旦安裝並獲得完全磁碟存取權限,notnullOSX 就能讀取系統中儲存的大部分檔案。它會與遠端命令伺服器保持通信,並下載獨立的惡意模組,每個模組都針對特定任務而建置。
這些臨時元件可用於竊取密碼、複製檔案、收集憑證並擴充惡意軟體的功能。由於模組是按需取得的,攻擊者可以在初始入侵後不斷調整感染方式。
瀏覽器和個人資料竊取能力
notnullOSX 的主要目標是儲存在主流瀏覽器中的資料。它使用不同的模組從 Google Chrome、Mozilla Firefox 和 Safari 中提取特定類別的資訊。
該惡意軟體能夠竊取:
- 已儲存的密碼、Cookie、書籤和瀏覽記錄
- 裝置上儲存的筆記、Telegram桌面會話資料以及每次對話最多500則訊息(包括附件和格式)。
- SSH金鑰、雲端憑證、API令牌和設定檔保存在使用者的主資料夾中
被盜資訊可能使犯罪分子獲得對帳戶、伺服器、雲端環境和開發平台的存取權限。
加密貨幣錢包是主要目標
notnullOSX 的主要目標是竊取加密貨幣。該惡意軟體會搜尋與常用錢包軟體(包括 Atomic Wallet、Bitcoin Core、Electrum、Exodus 和 Wasabi Wallet)相關的資料。
它還會掃描基於瀏覽器的錢包擴充程序,並複製儲存的信息,包括加密的助記詞。即使是加密的錢包數據,也可能在之後透過密碼攻擊或進一步的社會工程手段被利用。
應用程式替換功能增加了風險
與許多傳統竊取程式不同,notnullOSX 可以將合法應用程式替換為惡意仿冒品。它可以下載受信任應用程式(例如錢包軟體)的偽造版本,替換原始應用,並保留相同的圖標和外觀。
啟動後,偽造的應用程式表面上看起來與普通應用程式無異,但會在後台秘密竊取敏感訊息,例如錢包恢復短語。此功能可以遠端啟用或停用,通常僅在目標應用程式已存在於受害者係統上時才會使用。
不只是竊賊:類似老鼠的行為
notnullOSX 的功能更像是遠端存取木馬 (RAT),而非標準的資訊竊取程式。它會與操作者保持持續連接,並定期檢查以取得命令。
這使得攻擊者能夠:
- 感染後發送新的指令
- 下載並執行其他惡意模組
- 更新功能或部署額外有效載荷
- 對受損系統保持長期控制
由於這種靈活性,感染會隨著時間的推移而演變,並變得更具破壞性。
notnullOSX 的分發方式
這種惡意軟體主要透過社交工程攻擊傳播,攻擊者誘騙用戶自行安裝。受害者可能會看到虛假問題,例如「受保護的 Google 文件」警告或 macOS 應用程式損壞的訊息。然後,他們會被指示按照特定步驟修復問題,這種策略稱為ClickFix 。
這些步驟通常涉及在終端機中執行命令或開啟惡意 DMG 檔案。 notnullOSX 也透過虛假軟體網站、詐騙下載入口網站、被劫持的 YouTube 頻道以及諸如「WallSpace.app」之類的虛假應用程式進行傳播。
有些受害者甚至會被引導手動啟用完全磁碟存取權限,使惡意軟體能夠全面了解裝置狀況。
最終安全評估
notnullOSX 是一種極其危險的 macOS 威脅,能夠竊取瀏覽器資料、加密貨幣資產、私人通訊、身分驗證資料和開發者憑證。其模組化設計、持續遠端控制和應用程式替換功能使其危害尤為嚴重。受害者可能面臨帳戶被盜、身分被竊取、經濟損失以及進一步惡意軟體部署的風險。強烈建議在檢測到該威脅後立即將其移除並重置所有憑證。
