notnullOSX — новый зловред под Mac для кражи криптовалют
Первые случаи заражения были зафиксированы 30 марта 2026 года в Испании, Вьетнаме и на Тайване. Алгоритмы вредоноса предварительно оценивают финансовое состояние жертвы через специальную форму и атакуют только тех пользователей, чей баланс превышает 10 000 долларов.
Для распространения notnullOSX злоумышленники используют методы социальной инженерии, вынуждая жертв самостоятельно устанавливать вирус. Одним из распространенных способов является имитация защищенного документа Google.
При попытке его открыть система выдает фальшивую ошибку шифрования (например, уведомление об устаревшем API-коннекторе) и предлагает пользователю скопировать и выполнить специальную команду в терминале для устранения проблемы.
После запуска скрипт запрашивает полный доступ к диску. Получив разрешение, notnullOSX обходит встроенные механизмы защиты Apple, что позволяет ему скрытно перехватывать сообщения в iMessage, читать заметки Apple Notes и собирать сохраненные пароли из браузера Safari.
Кражу криптовалют обеспечивает функция ReplaceApp, которая способна подменять официальные приложения для управления аппаратными кошельками (такими как Ledger Live или Trezor) на их фальшивые копии. Это позволяет хакерам перехватывать seed-фразы в момент их ввода пользователем. Кроме того, малварь умеет атаковать десктопные криптокошельки, включая Bitcoin Core, Exodus и MetaMask.
Залогиньтесь, чтобы писать комментарии