Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware para Mac No nuloOSX macOS Malware

No nuloOSX macOS Malware

Por Mezo en Malware para Mac, Ladrones
Traducir a:

notnullOSX es una sofisticada familia de malware para el robo de información, escrita en el lenguaje de programación Go. Está diseñada para atacar a usuarios de macOS, con especial énfasis en el robo de criptomonedas y otros datos confidenciales. Los ciberdelincuentes suelen distribuirla mediante campañas engañosas de ClickFix y archivos de instalación DMG troyanizados. Si se detecta en cualquier dispositivo, debe eliminarse de inmediato.

Cómo funciona notnullOSX después de la infección

Una vez instalado y con acceso completo al disco, notnullOSX puede leer una gran cantidad de archivos almacenados en el sistema. Mantiene comunicación con un servidor de comandos remoto y descarga módulos maliciosos independientes, cada uno diseñado para una tarea específica.

Estos componentes temporales pueden utilizarse para robar contraseñas, copiar archivos, obtener credenciales y ampliar la funcionalidad del malware. Dado que los módulos se descargan según sea necesario, los atacantes pueden adaptar continuamente la infección tras el ataque inicial.

Capacidades del navegador y de robo de datos personales

notnullOSX se centra en gran medida en los datos almacenados en los principales navegadores web. Se utilizan diferentes módulos para extraer categorías específicas de información de Google Chrome, Mozilla Firefox y Safari.

El malware es capaz de robar:

  • Contraseñas guardadas, cookies, marcadores e historial de navegación
  • Notas almacenadas en el dispositivo, datos de la sesión de Telegram Desktop y hasta 500 mensajes por conversación, incluidos archivos adjuntos y formato.
  • Claves SSH, credenciales en la nube, tokens de API y archivos de configuración guardados en la carpeta personal del usuario.

Esta información robada puede proporcionar a los delincuentes acceso a cuentas, servidores, entornos en la nube y plataformas de desarrollo.

Las carteras de criptomonedas son un objetivo principal.

Uno de los principales objetivos de notnullOSX es el robo de criptomonedas. El malware busca datos vinculados a software de monederos populares, como Atomic Wallet, Bitcoin Core, Electrum, Exodus y Wasabi Wallet.

También analiza las extensiones de monedero basadas en el navegador y copia la información almacenada, incluidas las frases semilla cifradas. Incluso los datos cifrados del monedero pueden ser posteriormente vulnerados mediante ataques de contraseñas o técnicas de ingeniería social.

La función de reemplazo de aplicaciones aumenta el peligro.

A diferencia de muchos programas maliciosos tradicionales, notnullOSX puede reemplazar aplicaciones legítimas con imitaciones maliciosas. Puede descargar una versión falsa de una aplicación de confianza, como un software de billetera, sustituir la aplicación original y conservar el mismo icono y apariencia.

Al ejecutarse, la aplicación falsificada se muestra normal mientras, en secreto, recopila información confidencial, como frases de recuperación de la billetera. Esta función se puede activar o desactivar de forma remota y generalmente solo se utiliza cuando la aplicación objetivo ya está instalada en el sistema de la víctima.

Más que un ladrón: comportamiento propio de una rata.

notnullOSX funciona más como un troyano de acceso remoto (RAT) que como un ladrón de información convencional. Mantiene una conexión persistente con sus operadores y comprueba periódicamente si recibe comandos.

Esto permite a los atacantes:

  • Enviar nuevas instrucciones después de la infección
  • Descarga y ejecuta módulos maliciosos adicionales.
  • Actualizar capacidades o implementar cargas útiles adicionales
  • Mantener el control a largo plazo sobre los sistemas comprometidos.

Debido a esta flexibilidad, las infecciones pueden evolucionar con el tiempo y volverse mucho más dañinas.

Cómo se distribuye notnullOSX

El malware se propaga principalmente mediante ataques de ingeniería social que manipulan a los usuarios para que lo instalen ellos mismos. A las víctimas se les muestran problemas falsos, como una advertencia de "Documento de Google protegido" o un mensaje de una aplicación de macOS dañada. Luego se les indica que solucionen el problema siguiendo pasos específicos, una táctica ampliamente conocida como ClickFix .

Estos pasos suelen implicar ejecutar comandos en la terminal o abrir archivos DMG maliciosos. notnullOSX también se ha distribuido a través de sitios web de software falsos, portales de descarga fraudulentos, canales de YouTube pirateados y aplicaciones falsas como herramientas de fondos de pantalla tipo 'WallSpace.app'.

Algunas víctimas incluso son guiadas para habilitar manualmente el acceso completo al disco, lo que otorga al malware una amplia visibilidad del dispositivo.

Evaluación de seguridad final

notnullOSX es una amenaza muy peligrosa para macOS capaz de robar datos del navegador, criptomonedas, comunicaciones privadas, información de autenticación y credenciales de desarrollador. Su diseño modular, el control remoto persistente y la capacidad de reemplazar aplicaciones la hacen especialmente peligrosa. Las víctimas pueden sufrir el compromiso de sus cuentas, robo de identidad, pérdidas económicas y la propagación de malware adicional. Se recomienda encarecidamente su eliminación inmediata y el restablecimiento completo de las credenciales tras su detección.

 

Tendencias

Mas Visto

Cargando...