ハッカーはClickFixコマンドを悪用し、DMGインストーラーを仕掛け爆弾にして、macOSユーザーから高額の暗号資産ウォレットを盗むために設計された新しいmacOSスティーラー「notnullOSX」を配信しています。
物語は0xFFFから始まります。0xFFFはマルウェア開発者で、2023年に大手ロシア語圏ハッキングフォーラムから突然姿を消しました。調査されていると主張し、フォーラムが法執行機関と協力していると非難した後のことです。
約束はシンプルで無慈悲でした。暗号資産保有額が10,000ドルを超えるmacOSユーザーを対象とした的を絞ったスティーラーです。
2024年8月、彼はalh1mikというエイリアスで浮上し、Telegramで謝罪を投稿し、ステータスを取り戻すために新しい独占的なmacOSスティーラーを提供しました。
2026年初頭までに、その提供はnotnullOSXとなり、カスタムの餌、ゲート付きアフィリエイトパネル、専任オペレーターエコシステムを通じて配布されるGoベースのモジュール式インプラントです。
初期の餌:偽のセキュアなGoogle Docs
notnullOSX感染フローは、研究者@g0njxaがX上で報告した偽の「セキュア」Googleドキュメントから始まります。
被害者には、古い「Google APIコネクタ」が原因で暗号化に失敗したというエラーが表示され、「修正」するための2つの方法が提示されます。どちらも同じマルウェアに導きます。
オペレーターは広範囲に網を投げません。餌が生成される前に、ソーシャルメディアリンク、過去のコミュニケーション、暗号資産ウォレットアドレス、およびそれが見つかった場所を含むターゲットプロフィールをアフィリエイトパネルに送信します。
パネルは明示的に最低閾値を強制します。10,000ドル未満のウォレットは却下され、キャンペーンは高額な被害者に焦点を当てます。
キャンペーンは2つの並列ソーシャルエンジニアリングチェーンを実行し、同じインプラントに収束します。
- ClickFixチェーン:被害者は、Terminalを開いてBase64エンコードされたコマンドを貼り付けるよう指示されます。これにより、攻撃者インフラストラクチャからbashインストーラーが静かにプルされます。
スクリプトはMach-Oペイロードをダウンロードし、Gatekeeperの隔離フラグを削除し、最小限の.appバンドル内に隠し、永続化のためにLaunchAgentを追加します。
その後、ユーザーはシステム設定でフルディスクアクセスを許可するよう段階的に指示されます。これにより、メッセージ、メモ、Safari データなどへのTCCゲート付きアクセスを効果的に提供します。
- DMGチェーン:代わりに悪意のあるディスクイメージは、Finderウィンドウに「Install.sh」「README.txt」、およびTerminalエイリアスを表示します。
エイリアスを開くと、マウントされたDMGからTerminalを起動します。一方、READMEはユーザーにBase64エンコードされた「インストーラー」スクリプトを実行するよう指示し、ClickFixパスと同じ感染ロジックにデコードされます。
どちらの場合でも、エクスプロイトはありません。被害者は悪意のあるソフトウェアを自分自身で実行して認可するよう説得され、多くの従来の検出ポイントをバイパスします。
WallSpaceの偽装とYoutubeトラフィック
Moonlock LabはnotnullOSXが「WallSpace.app」という名前で配布されているのを観察しました。正規のmacOSライブ壁紙アプリケーションを模倣しています。
ダウンロードパスは別の物語を語っています。wallpapermacos[.]com/download/にアクセスするとCloudflareマルウェア警告がトリガーされます。
wallpapermacos[.]comの洗練されたウェブサイトは、無料のライブ壁紙を宣伝し、訪問者を「無料ダウンロード」フローへと導きました。一方、ダウンロードパスは調査中にセキュリティ警告とマルウェアフラグをトリガーしました。
wallspaceapp[.]comという2番目のドメインは稼働を続けており、WallSpace関連のクエリについてGoogleサーチ結果の最上位にランクされさえしており、Base64コマンド、コピーボタン、および番号付きTerminal指示を含むクラシックなClickFixページをホストしていました。
トラフィックは、一見無害なYoutubeチャネルから流入されました。2015年に作成されていますが、最近単一のWallSpaceビデオをホストするために流用され、数万のビューが急速に蓄積されました。これは、配布ファネルとして使用されたハイジャックされた、ブーストされたチャネルの使用パターンに一致しています。
メインのnotnullOSXペイロードは、複数のアーキテクチャのMach-Oバイナリで、現在のところアンチウイルスエンジンの少数派でしかフラグされておらず、「アドウェア」や「潜在的に不要」などの誤解を招くラベルでフラグされることが多いです。
インストールされてフルディスクアクセスが付与されると、モジュール式スティーラーとして機能します。個別のコンポーネントは正規CDNからダウンロードされ、/tmpにステージングされ、特定のデータカテゴリを収集するために実行されます。
確認されたモジュールには、SystemInfo、iMessageGrab、AppleNotesGrab、SafariCookiesGrab、CryptoWalletsGrab、BrowserHistoryGrab、BrowserGrab、FirefoxGrab、CredsGrab、TelegramGrab、およびReplaceAppが含まれ、チャット履歴とブラウザクッキーから暗号資産ウォレット、SSHキー、クラウド認証情報、およびTelegramセッションまで、すべてをカバーしています。
目立つ機能の1つであるReplaceAppは、正規のアプリケーション(おそらくハードウェアウォレットマネージャー)を、元のアイコンを保持しながら、トロイの木馬化されたクローンと交換するように設計されており、セットアップ中にシードフレーズが盗まれることを可能にします。
典型的な「押し込んで放置」のスティーラーとは異なり、notnullOSXは、Firebase Realtime Database経由でコマンド&コントロールへの永続的で、TLS暗号化されたWebSocketのようなチャネルを維持し、インバウンドコマンドにはサーバー送信イベント、アウトバウンドの結果にはJSONポストを使用します。
Moonlock Labテレメトリーは、notnullOSXの初めての野生検出を2026年3月30日に記録しました。ベトナム、台湾、スペインのユーザーに影響し、キャンペーンが理論的ではなく、活発であることを確認しました。
防御者にとって、このケースは3つの重要なポイントを強調しています。ソーシャルエンジニアリングされたTerminalコマンドは現在、macOSの主流の配信技術になっています。フルディスクアクセスのプロンプトは、高リスクイベントとして扱われなければなりません。そして、高額な暗号資産ユーザーは、長期的なロードマップを持つ洗練されたモジュール式スティーラーの主要なターゲットのままです。
