ハッカーたちは偽のmacOSワイペーパーアプリと盗用されたYouTubeチャネルを悪用して、notnullOSXという新しい暗号資産狙いのステーラーを密かに配布しており、このマルウェアはClickFixコマンドと兵器化されたDMGインストーラーを経由してMacをターゲットにしています。
このキャンペーンは非常に選別的であり、暗号資産保有額が10,000米ドルを超える被害者を狙い、正当なアプリやワークフローに酷似した洗練されたおとりを使用しています。
notnullOSXはアンダーグラウンド開発者0xFFFに関連しており、同人物はXSS恐喝フォーラムからの悪名高い退出の後、2024年に「alh1mik」という別名で再び登場し、新しい専用macOSステーラーを約束していました。
2026年初頭までに、その約束はGoベースのステーラーとして実現し、モジュール式アーキテクチャ、強力な難読化、および完全なバックドア同様の機能を備えていました。
Moonlock Labのテレメトリは2026年3月30日にnotnullOSXを初めて検出し、ベトナム、台湾、スペインでの検出がアクティブで継続中のキャンペーンを示唆しています。
オペレーターたちはアフィリエイトパネルを使用して、ウォレット価値でターゲットを事前スクリーニングし、暗号資産保有額が10,000米ドルを超える場合のみ申請を処理して、このツールが高価値のmacOSユーザーに対して展開されるようにしています。
このレベルの手動選別は、ソーシャルメディア、通信履歴、ウォレットアドレスの詳細フィールドとともに、大量スプレーではなく、スピアフィッシングスタイルの操作である手動ターゲット設定を示しています。
初期アクセス:偽のGoogle DocとClickFix
感染は偽の「保護された」Google文書で始まり、偽の「Google APIコネクター」の問題に関連した暗号化エラーを表示し、同じペイロードを配信する2つの「修正」パスを提供しています。
ClickFixチェーンでは、ページはbase64エンコードされたターミナルコマンドを想定される救済策として提示し、技術的な問題を解決するためにシェルコマンドをコピーして貼り付けることにmacOSユーザーが慣れていることに賭けています。
コマンドをデコードすると、攻撃者が制御するインフラストラクチャからbashインストーラーをプルするcurlベースのワンライナーが明らかになり、その後Mach-Oバイナリをダウンロードし、Gatekeeperの検疫フラグを削除し、隠しファイル.appにラップし、LaunchAgentを通じて永続化を確立します。
被害者はシステム設定でフルディスクアクセス(FDA)を許可するプロセスに従わされ、実質的にmacOSのTCCプライバシーフレームワークに例外を与え、さらなるプロンプトなしにメッセージ、メモ、Safariデータなどにアクセスすることをインプラントに許可しています。
これはTCC悪用ではなく、ユーザーをあらゆる機密データアクセスを1ステップで引き渡すよう説得するソーシャルエンジニアリングです。
2番目のチェーンは、Install.shファイル、README、ターミナルエイリアスを含む悪意のあるDMGを使用し、ユーザーにコマンドを貼り付けるよう要求する代わりに、ディスクイメージから直接ターミナルを起動することで技術的障壁を低下させています。
Install.shは大きなbase64ブロブとして表示され、デコードするとClickFixパスと同じnotnullOSXインプラントを最終的にドロップするスクリプトを実行します。
配信側では、研究者たちはwallpapermacos[.]comやwallspaceapp[.]comなどのドメインでホストされている、正当なmacOSライブワイペーパーアプリケーションとして見せかけた偽の「WallSpace.app」を観察しました。
ランディングページはプロフェッショナルに見え、映画的なスクリーンショットを特徴としており、「無料ダウンロード」ボタンを提供していますが、ダウンロードパス自体はCloudflareなどのサービスからマルウェア警告をトリガーし、自動スキャナー上で悪意のあるものとしてフラグが立てられています。
これらのページの1つは教科書的なClickFixフローを埋め込んでおり、ターミナルグラフィック、base64エンコードされたコマンド、「ターミナルを開く、貼り付けて実行、ワイペーパーを選択」するステップバイステップの指示があります。
盗用されたYouTubeチャネルのブースト
偽のワイペーパーサイトへのトラフィックは@wallspacemacosというハンドルを使用するYouTubeチャネルを通じてファネル化され、「WallSpace – Live Wallpaper for macOS」というタイトルの単一ビデオをホストしており、おおよそ2週間で約50,000ビューを獲得しています。
チャネル自体は2015年までさかのぼりますが、43人の登録者と1本のビデオだけを表示していますが、このパターンはマルウェア配布のために目的を変えられた古い盗用されたアカウントと一致し、有料広告またはSEO操作を通じて人工的に推進されています。
ビデオの説明は直接wallpapermacos[.]comにリンクし、YouTubeおとりを偽のアプリダウンロードパスに接続しています。
実際の履歴メタデータを持つ長寿命のアカウントを悪用することで、攻撃者たちは暗黙の信頼を得て、未知のmacOSユーティリティを推し進める真新しいチャネルを通常取り囲む疑いを回避しています。
10年間休止していたチャネルが突然1つのマルウェア配布ビデオを公開し、2週間で50,000ビューを蓄積することは、1つの説明と一致するパターンです。
フルディスクアクセスでインストール後、notnullOSXは正当なCDN(Filestack)からオンデマンドでダウンロードされたモジュールを備えたマルチアーキテクチャMach-Oバイナリとして実行され、各モジュールは特定のデータカテゴリに焦点を当てています。
確認されたモジュールにはSystemInfo、iMessageGrab、AppleNotesGrab、SafariCookiesGrab、CryptoWalletsGrab、BrowserGrab、BrowserHistoryGrab、FirefoxGrab、CredsGrab、TelegramGrab、ReplaceAppが含まれ、オペレーターたちに個人データ、暗号資産、開発者認証情報への広範なアクセスを提供しています。
CryptoWalletsGrabはデスクトップウォレット(例:Bitcoin Core、Electrum、Wasabi、Exodus、Atomic)とハードコードされたブラウザウォレット拡張機能のリストの両方をターゲットにし、オフライン悪用のための生データとIndexedDBボルトをコピーしています。
CredsGrabはSSHキー、クラウドプロバイダー認証情報、AWS、Azure、GCP、Kubernetes、Terraform、npmなどのプラットフォーム用の構成ファイルをスイープし、侵害されたMacを横方向の移動とソフトウェアサプライチェーン侵害のための足がかりに効果的に変えています。
ReplaceAppはLedger LiveやTrezorなどの正当なハードウェアウォレット管理アプリを騙されたバージョンと交換するように設計されているようであり、攻撃者たちがセットアップ中にシードフレーズを傍受することを可能にしながら、元のアイコンを保持してユーザーの疑いを避けています。
妥協の指標(IOCs)
| 指標 | タイプ | 説明 |
|---|---|---|
| mactest-6b2ab-default-rtdb[.]firebaseio.com | ドメイン | Firebase RTDB C2 |
| 83.217.209[.]88 | IP | プロキシ / VPS |
| 111[.]90[.]149[.]111 | IP | ClickFixインストーラーサーバー |
| wallpapermacos[.]com | ドメイン | 悪意のあるWallSpaceおとり |
| wallspaceapp[.]com | ドメイン | 悪意のあるWallSpaceおとり |
| cdn.filestackcontent[.]com | ドメイン | モジュール配信CDN(悪用) |
翻訳元: https://gbhackers.com/notnullosx-malware/
