複数ライセンス割引見積
脅威データベース Mac マルウェア NotnullOSX macOSマルウェア

NotnullOSX macOSマルウェア

Mac マルウェア, スティーラーズMezoまで
翻訳内容:

notnullOSXは、Go言語で記述された高度な情報窃盗マルウェアファミリーです。macOSユーザーを標的とし、暗号通貨やその他の機密データの窃盗に重点を置いています。攻撃者は、偽のClickFixキャンペーンやトロイの木馬化されたDMGインストールファイルを通じて、このマルウェアを拡散するのが一般的です。デバイス上で検出された場合は、速やかに削除する必要があります。

notnullOSXが感染後にどのように動作するか

notnullOSXは、インストールされてフルディスクアクセス権限が付与されると、システムに保存されているファイルの大部分を読み取ることができます。また、リモートコマンドサーバーとの通信を維持し、それぞれ特定のタスク用に構築された悪意のあるモジュールを個別にダウンロードします。

これらの一時的なコンポーネントは、パスワードの窃盗、ファイルのコピー、認証情報の収集、マルウェアの機能拡張などに悪用される可能性があります。モジュールは必要に応じて取得されるため、攻撃者は最初の侵入後も感染を継続的に適応させることができます。

ブラウザおよび個人データの盗難機能

notnullOSXは、主要なウェブブラウザに保存されているデータを重点的に標的としています。Google Chrome、Mozilla Firefox、Safariから特定のカテゴリの情報を抽出するために、さまざまなモジュールが使用されます。

このマルウェアは以下の情報を盗むことができます。

  • 保存されたパスワード、Cookie、ブックマーク、閲覧履歴
  • デバイスに保存されたメモ、Telegramデスクトップセッションデータ、および添付ファイルや書式設定を含む会話ごとの最大500件のメッセージ
  • SSHキー、クラウド認証情報、APIトークン、および設定ファイルは、ユーザーのホームフォルダに保存されます。

盗まれた情報は、犯罪者にアカウント、サーバー、クラウド環境、開発プラットフォームへのアクセス権を与える可能性がある。

暗号通貨ウォレットは主要な標的である

notnullOSXの主な目的は、仮想通貨の窃盗です。このマルウェアは、Atomic Wallet、Bitcoin Core、Electrum、Exodus、Wasabi Walletといった人気のあるウォレットソフトウェアに関連するデータを検索します。

また、ブラウザベースのウォレット拡張機能をスキャンし、暗号化されたシードフレーズを含む保存情報をコピーします。暗号化されたウォレットデータでさえ、パスワード攻撃やさらなるソーシャルエンジニアリングによって悪用される可能性があります。

アプリの置き換え機能は危険性を高める

多くの従来型のマルウェアとは異なり、notnullOSXは正規のアプリケーションを悪意のある類似のアプリケーションに置き換えることができます。ウォレットソフトウェアなどの信頼できるアプリケーションの偽バージョンをダウンロードし、元のアプリと置き換え、同じアイコンと外観を維持する可能性があります。

起動時、この偽アプリは一見正常に見えますが、ウォレットの復旧フレーズなどの機密情報を密かに収集します。この機能はリモートで有効化または無効化でき、通常は標的となるアプリが被害者のシステムに既にインストールされている場合にのみ使用されます。

単なる泥棒以上の存在:ネズミのような行動

notnullOSXは、一般的な情報窃盗マルウェアというよりも、リモートアクセス型トロイの木馬(RAT)に近い動作をする。オペレーターとの常時接続を維持し、定期的にコマンドを要求する。

これにより、攻撃者は以下のことが可能になります。

  • 感染後に新しい指示を送信
  • 追加の悪意のあるモジュールをダウンロードして実行する
  • 機能を更新するか、追加のペイロードをデプロイする
  • 侵害されたシステムを長期的に制御し続ける

このような柔軟性があるため、感染症は時間とともに進化し、より深刻な被害をもたらす可能性がある。

notnullOSXの配布方法

このマルウェアは主に、ユーザーを騙して自らインストールさせるソーシャルエンジニアリング攻撃によって拡散されます。被害者には、「保護されたGoogleドキュメント」という警告やmacOSアプリケーションの破損メッセージなど、偽の問題が表示される場合があります。その後、特定の手順に従って問題を解決するように指示されます。これはClickFixとして広く知られている手口です。

これらの手順には、ターミナルでコマンドを実行したり、悪意のあるDMGファイルを開いたりすることが含まれる場合が多い。notnullOSXは、偽のソフトウェアWebサイト、不正なダウンロードポータル、乗っ取られたYouTubeチャンネル、そして「WallSpace.app」のような壁紙ツールなどの偽アプリケーションを通じても配布されている。

被害者の中には、フルディスクアクセスを手動で有効にするよう指示され、マルウェアがデバイス内部を広範囲に監視できるようになるケースもある。

最終セキュリティ評価

notnullOSXは、ブラウザデータ、仮想通貨資産、プライベートな通信内容、認証情報、開発者認証情報などを盗み出すことができる、非常に危険なmacOSの脅威です。モジュール構造、永続的なリモート制御機能、アプリケーション置換機能などにより、特に深刻な被害をもたらします。被害者は、アカウントの侵害、個人情報の盗難、金銭的損失、そしてさらなるマルウェアの拡散といった被害に遭う可能性があります。検出後は直ちに削除し、認証情報を完全にリセットすることを強くお勧めします。


トレンド

Orionnero.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
ウェブ閲覧時の注意はもはや選択肢ではなく、必須事項となっています。悪質なウェブサイトはますます巧妙化しており、ユーザーを騙して自身のセキュリティを侵害させるような欺瞞的な手口を多用しています。最も一般的な手口の一つは、偽のCAPTCHA認証で、訪問者に「許可」ボタンをクリックさせるものです。一見無害な認証に見えるこの操作は、実際にはユーザーを迷惑なプッシュ通知に登録させてしまいます。これらの...

Pocamish.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
今日の脅威に満ちたデジタル環境では、ウェブ閲覧時に注意を払うことが不可欠です。悪質なウェブサイトは、ユーザーを騙して許可を与えさせたり、有害なコンテンツにアクセスさせたりするために、しばしば欺瞞的な手口を用います。よくある手口の一つは、偽のCAPTCHA認証を利用して、訪問者がロボットではないことを確認するふりをして「許可」ボタンをクリックさせるというものです。実際には、この操作によってユー...

Glamconnectnetwork.com

不正なウェブサイト, アドウェア
サイバーセキュリティ専門家は、Glamconnectnetwork.comを信頼性の低い、詐欺的なウェブサイトであると指摘しています。このサイトは、いかなる正当な企業、組織、または認知されたセキュリティ機関とも関連していません。信頼できるサイトであるかのように装っていますが、実際には、無防備なユーザーを騙すための欺瞞的な手口を用いて運営されています。 真のサービスや保護を提供するのではなく、...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
32,779
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
28,186
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Fuq.com

不正なスパイウェア対策プログラム, Mac マルウェア
21,206
Fuq.com は、ポルノ コンテンツを含む Web サイトを宣伝するアドウェア タイプのプログラムです。この迷惑プログラム (PUP) の広告キャンペーンは非常に攻撃的です。感染したデバイスに関連する広告、バナー、またはビデオを表示することで、被害者に宣伝されたページの不審なアダルト コンテンツの閲覧を強制します。 Fuq.com は Mac デバイスにも影響を及ぼし、プッシュするコンテン...
読み込んでいます...