Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware NotnullOSX macOS Malware

NotnullOSX macOS Malware

Von Mezo in Mac-Malware, Diebe
Übersetzen Sie in:

notnullOSX ist eine hochentwickelte Malware-Familie, die in der Programmiersprache Go geschrieben wurde und auf den Diebstahl von Kryptowährungen und anderen sensiblen Daten abzielt. Angreifer verbreiten sie üblicherweise über betrügerische ClickFix-Kampagnen und manipulierte DMG-Installationsdateien. Wird sie auf einem Gerät entdeckt, sollte sie umgehend entfernt werden.

Wie notnullOSX nach einer Infektion funktioniert

Nach der Installation und der Gewährung des vollen Festplattenzugriffs kann notnullOSX einen Großteil der auf dem System gespeicherten Dateien lesen. Es kommuniziert mit einem entfernten Befehlsserver und lädt separate Schadmodule herunter, die jeweils für eine bestimmte Aufgabe entwickelt wurden.

Diese temporären Komponenten können genutzt werden, um Passwörter zu stehlen, Dateien zu kopieren, Zugangsdaten zu sammeln und die Funktionalität der Schadsoftware zu erweitern. Da Module bedarfsgerecht geladen werden, können Angreifer die Infektion nach der ersten Kompromittierung kontinuierlich anpassen.

Browser- und Datendiebstahlfunktionen

notnullOSX zielt stark auf Daten ab, die in gängigen Webbrowsern gespeichert sind. Verschiedene Module werden verwendet, um spezifische Informationskategorien aus Google Chrome, Mozilla Firefox und Safari zu extrahieren.

Die Schadsoftware ist zum Diebstahl folgender Daten fähig:

  • Gespeicherte Passwörter, Cookies, Lesezeichen und Browserverlauf
  • Auf dem Gerät gespeicherte Notizen, Telegram Desktop-Sitzungsdaten und bis zu 500 Nachrichten pro Konversation, einschließlich Anhängen und Formatierung
  • SSH-Schlüssel, Cloud-Zugangsdaten, API-Token und Konfigurationsdateien werden im Home-Verzeichnis des Benutzers gespeichert.

Diese gestohlenen Informationen können Kriminellen Zugang zu Konten, Servern, Cloud-Umgebungen und Entwicklungsplattformen verschaffen.

Kryptowährungs-Wallets sind ein Hauptziel

Ein Hauptziel von notnullOSX ist der Diebstahl von Kryptowährungen. Die Schadsoftware sucht nach Daten, die mit gängiger Wallet-Software wie Atomic Wallet, Bitcoin Core, Electrum, Exodus und Wasabi Wallet verknüpft sind.

Es scannt außerdem browserbasierte Wallet-Erweiterungen und kopiert gespeicherte Informationen, einschließlich verschlüsselter Seed-Phrasen. Selbst verschlüsselte Wallet-Daten können später durch Passwortangriffe oder weiteres Social Engineering missbraucht werden.

Die App-Ersatzfunktion erhöht die Gefahr

Im Gegensatz zu vielen herkömmlichen Softwarediebstählen kann notnullOSX legitime Anwendungen durch bösartige Kopien ersetzen. Es lädt beispielsweise eine gefälschte Version einer vertrauenswürdigen Anwendung herunter, wie etwa einer Wallet-Software, ersetzt die Original-App und behält dabei dasselbe Symbol und Aussehen bei.

Nach dem Start erscheint die gefälschte Anwendung normal, sammelt aber im Hintergrund sensible Daten wie beispielsweise Wiederherstellungsphrasen für die Wallet. Diese Funktion lässt sich aus der Ferne aktivieren oder deaktivieren und wird typischerweise nur dann genutzt, wenn die Zielanwendung bereits auf dem System des Opfers vorhanden ist.

Mehr als nur ein Dieb: Rattenartiges Verhalten

notnullOSX verhält sich eher wie ein Remote-Access-Trojaner (RAT) als wie ein herkömmlicher Infostealer. Es hält eine dauerhafte Verbindung zu seinen Bedienern aufrecht und prüft regelmäßig, ob Befehle ausgeführt werden.

Dies ermöglicht Angreifern Folgendes:

  • Senden Sie nach der Infektion neue Anweisungen.
  • Laden Sie zusätzliche schädliche Module herunter und führen Sie diese aus.
  • Funktionen aktualisieren oder zusätzliche Nutzdaten bereitstellen
  • Langfristige Kontrolle über kompromittierte Systeme aufrechterhalten

Aufgrund dieser Flexibilität können sich Infektionen im Laufe der Zeit verändern und deutlich schädlicher werden.

Wie notnullOSX verteilt wird

Die Schadsoftware wird hauptsächlich durch Social-Engineering-Angriffe verbreitet, die Nutzer zur Selbstinstallation verleiten. Den Opfern werden gefälschte Probleme angezeigt, beispielsweise eine Warnung vor einem „geschützten Google Doc“ oder eine Meldung über eine beschädigte macOS-Anwendung. Anschließend werden sie angewiesen, das Problem anhand bestimmter Schritte zu beheben – eine Taktik, die unter dem Namen ClickFix bekannt ist.

Diese Schritte beinhalten oft das Ausführen von Befehlen im Terminal oder das Öffnen schädlicher DMG-Dateien. notnullOSX wurde auch über gefälschte Software-Websites, betrügerische Download-Portale, gehackte YouTube-Kanäle und gefälschte Anwendungen wie Wallpaper-Tools wie „WallSpace.app“ verbreitet.

Manche Opfer werden sogar dazu angeleitet, den vollständigen Festplattenzugriff manuell zu aktivieren, wodurch die Schadsoftware einen umfassenden Einblick in das Gerät erhält.

Abschließende Sicherheitsbewertung

notnullOSX ist eine hochgefährliche macOS-Bedrohung, die Browserdaten, Kryptowährungen, private Kommunikation, Authentifizierungsdaten und Entwicklerzugangsdaten stehlen kann. Ihr modularer Aufbau, die Möglichkeit zur permanenten Fernsteuerung und die Funktion zum Ersetzen von Anwendungen machen sie besonders gefährlich. Opfer riskieren die Kompromittierung ihrer Konten, Identitätsdiebstahl, finanzielle Verluste und die Verbreitung weiterer Schadsoftware. Nach der Entdeckung wird dringend empfohlen, die Schadsoftware sofort zu entfernen und alle Zugangsdaten zurückzusetzen.

 

Im Trend

Am häufigsten gesehen

Wird geladen...