В подпольном мире разработки вредоносного ПО возвращение старого игрока под новым именем редко бывает добрым знаком. История автора, известного как 0xFFF, который в 2023 году в гневе покинул один из ведущих хакерских форумов, а в августе 2024-го вернулся под псевдонимом alh1mik с обещаниями и извинениями, обрела своё материальное воплощение к началу 2026 года. Его предложение "впустите меня обратно, и я построю вам новый стилер для macOS" вылилось в появление notnullOSX - модульного вредоносного ПО, написанного на Go, которое целенаправленно крадёт криптоактивы на сумму свыше 10 000 долларов. Этот случай демонстрирует эволюцию угроз для платформы Apple: от примитивных крадущих программ к сложным, целевым и персистентным инструментам с функциями бэкдора.
Описание
Инциденты с заражением были впервые зафиксированы телеметрией Moonlock Lab 30 марта 2026 года в трёх регионах: Вьетнаме, Тайване и Испании. Точкой входа для атаки стала фишинговая тактика с использованием поддельного защищённого документа Google. Жертва получает файл, при открытии которого появляется интерфейс, имитирующий ошибку шифрования из-за устаревшего "Google API Connector". Для "решения" проблемы предлагаются два варианта, оба ведущие к одному и тому же вредоносному импланту. Важно отметить, что целеполагание здесь не пассивное. Перед созданием индивидуальной приманки операторы через партнёрскую панель заполняют форму, указывая социальные сети цели, историю переписки, адрес криптокошелька и источник его обнаружения. Как явно указано в документации панели, минимальный порог для цели составляет 10 000 долларов, и заявки на меньшие суммы не обрабатываются.
Параллельные цепочки заражения сходятся к одному импланту. Первый путь использует технику социальной инженерии ClickFix, которая набирает популярность с 2024 года. Пользователю предлагается скопировать и выполнить в Терминале закодированную команду base64, которая загружает и выполняет установочный скрипт. После этого вредоносное ПО, используя социальную инженерию, заставляет жертву вручную предоставить ему полный доступ к диску (Full Disk Access, FDA) в настройках системы. Этот шаг имеет ключевое значение для обхода механизмов безопасности macOS. Система TCC (Transparency, Consent, and Control, фреймворк прозрачности, согласия и контроля), которая контролирует доступ к защищённым данным (Сообщения, Почта, Safari и т.д.), в обычном режиме запрашивает разрешение через диалоговые окна. Однако, если приложение получает FDA через настройки, оно получает общее исключение, позволяющее бесшумно читать все категории защищённых данных без дополнительных запросов.
Второй путь заражения использует образ диска (DMG), требующий от жертвы меньше технических знаний. Примонтированный образ содержит скрипт установки, README-файл и псевдоним для запуска Терминала. README-файл инструктирует пользователя, а скрипт Install.sh, внешне похожий на большой блок текста base64, после декодирования выполняет ту же полезную нагрузку, что и в первом сценарии. Исследователь @g0njxa сообщил в социальной сети X о первоначальном обнаружении этой точки входа и предоставил скриншоты панели управления.
Кампания оказалась реальной и активной. Распространение было построено вокруг бренда легитимного приложения для живых обоев WallSpace. Зловредный домен wallpapermacos[.]com представлял собой отполированную страницу продукта с кнопкой загрузки. Переход по пути загрузки, однако, вызывал предупреждение Cloudflare о подозрительном ПО, так как домен был уже помечен как распространитель вредоносов. При этом в результатах поиска Google фигурировал другой активный домен - wallspaceapp[.]com, где размещалась классическая страница установки ClickFix с командой для Терминала.
Трафик на эти сайты направлялся с YouTube-канала @wallspacemacos, который за две недели набрал 50 000 просмотров на единственном видео про живые обои. Канал был зарегистрирован в 2015 году, но имел лишь 43 подписчика, что указывает на его компрометацию и повторное использование для распространения вредоносов. Выбор старого аккаунта не случаен - он вызывает больше доверия у пользователей.
Анализ бинарного файла notnullOSX показал его модульную архитектуру. После установки и получения FDA имплант загружает с командного сервера (C2) отдельные исполняемые модули, ответственные за конкретные категории данных. Среди подтверждённых модулей - сбор системной информации, истории iMessage, заметок Apple Notes, файлов криптокошельков, данных браузеров (Chrome, Firefox, Safari), учётных данных разработчиков и сессий Telegram. Особого внимания заслуживает модуль ReplaceApp, который, судя по поведению, предназначен для подмены легитимных приложений, таких как клиенты аппаратных кошельков, на троянизированные версии с целью перехвата сид-фраз.
Поведение notnullOSX выходит за рамки типичного стилера. Вместо разовой отправки данных он поддерживает постоянное двустороннее WebSocket-соединение с C2 через легитимный сервис Firebase Realtime Database, используя heartbeat для поддержания сессии. Это указывает на возможности полноценного командного управления, позволяя оператору удалённо отдавать инструкции уже после заражения.
История создания notnullOSX берёт начало в 2022 году, когда 0xFFF впервые представил сырую бета-версию стилера для macOS. К 2023 году у него появились платные клиенты, но партнёрство с другим угрозным актором, ping3r, закончилось ссорой. 0xFFF получил от ping3r сообщение о якобы ведущемся расследовании силовых структур, после чего в панике покинул форум, оставив клиентов без поддержки. Его возвращение в 2024 году под именем alh1mik с извинениями и предзаказом на новый стилер было встречено скептически, однако к 2026 году обещание было выполнено. Результатом стал не сырой скрипт, а профессионально разработанный инструмент с обфускацией, модульностью и чёткой бизнес-моделью, ориентированной на высокодоходные цели.
Риски, связанные с notnullOSX, носят концентрированный характер. Основные цели - пользователи macOS с крупными криптоактивами, участники DeFi и разработчики, чьи учётные данные открывают доступ к инфраструктуре. Долгосрочная же угроза заключается в том, что эта модульная платформа с каналом удалённого управления является не одноразовым инструментом, а основой для будущего развития. Вероятно, появятся новые модули, а тактика будет адаптироваться под меняющиеся средства защиты. Этот инцидент служит напоминанием, что угрозы для macOS становятся всё более изощрёнными, а социальная инженерия остаётся ключевым вектором атаки, против которого технические средства защиты не всегда эффективны. Специалистам по безопасности необходимо обращать внимание на аномальные сетевые соединения, такие как текстовые event-стримы, загрузку Mach-O-файлов с CDN, а также на подозрительные запросы на предоставление полного доступа к диску. Для конечных пользователей главное правило - никогда не выполнять в Терминале команды, скопированные из непроверенных источников, и критически относиться к любым запросам на предоставление чрезмерных системных разрешений.
Индикаторы компрометации
IPv4
- 111.90.149.111
- 83.217.209.88
Domains
- cdn.filestackcontent.com
- mactest-6b2ab-default-rtdb.firebaseio.com
- wallpapermacos.com
- wallspaceapp.com
URLs
- https://www.youtube.com/@wallspacemacos
- https://www.youtube.com/watch?v=nbH5KJGYBHk
SHA256
- 070402c2c531aa3a87b9ccd080532a51d17b01d982b205fc4487246d58de8913
- 4584d02b5193799453766857dba97021f966b9cbf6033d7dd3a33d61eb975a6c
- 47373950e1d23c066de0ed2d511b4b7eea56ec22d7b501db265995fec51dbb44
- 636fa90aebab98534dcdbe50508ed8d3607c284c72f831a4503e223540d3f761
- 82cb3a22c90aee6cfc2f7e7f72e921e21226492c1d424d2b754b9cd763ab0b20
- 8d029b65c1076141d4817f25428cef44888b2fb4349ab9b9df7a413d240e1177
- b0cd860f18b0136e063d7ef9a3c84d138a1a21dbea019605ce66a3a1fad91db4
- b73adc5dc04159241e4a89cbc82eaa381f406080f3aaaa1f27d145900dd54267
- ff7f0c39aa90ed8f4ce24658a347e7871bb5f6a607eaedf2cf2859a1fb5782a9
