notnullOSX: το νέο macOS stealer που στοχεύει χρήστες με crypto

Μια κακόβουλη εκστρατεία που στοχεύει ιδιοκτήτες κρυπτο-πορτοφολιών υψηλής αξίας έχει αρχίσει να διαδίδεται σε macOS συστήματα, συνδυάζοντας κλασικά κοινωνικά τεχνάσματα με τεχνικές που εκμεταλλεύονται την ανθρώπινη εμπιστοσύνη. Το όνομα του implant είναι notnullOSX, ένα modular stealer γραμμένο σε Go που εστιάζει στη συλλογή seed phrases, cookies, κωδικών και άλλων κρίσιμων στοιχείων. Η περίπτωση δείχνει πόσο αποτελεσματική μπορεί να γίνει η στοχευμένη επίθεση όταν επιλέγεται προσεκτικά το θύμα και όταν ο επιτιθέμενος χρησιμοποιεί νόμιμες υποδομές για C2 επικοινωνία.

Ποιος το δημιούργησε και πώς προέκυψε

Η ιστορία πίσω από το notnullOSX συνδέεται με έναν γνωστό developer του υποκόσμου που χρησιμοποιούσε το ψευδώνυμο 0xFFF. Το 2023 ο ίδιος αποχώρησε αιφνιδιαστικά από ένα μεγάλο ρωσόφωνο φόρουμ, υποστηρίζοντας ότι βρισκόταν υπό έρευνα και ρίχνοντας αιχμές συνεργασίας του φόρουμ με αρχές. Το σχέδιο που φημολογείται ότι είχε ανακοινώσει τότε ήταν απλό και ψυχρό: ένας stealer που θα στοχεύει αποκλειστικά χρήστες macOS με ενδιαφέροντα κρυπτο-πορτοφόλια πάνω από 10.000 USD.

Τον Αύγουστο του 2024 επανεμφανίστηκε με νέο ψευδώνυμο, alh1mik, σε ένα κανάλι Telegram, όπου προσπάθησε να επανεπιβεβαιώσει την παρουσία του στο οικοσύστημα. Μέχρι τις αρχές του 2026 το εργαλείο έγινε πραγματικότητα με το όνομα notnullOSX, διανεμόμενο μέσω ενός gated affiliate panel, εξατομικευμένων lures και ενός δικτύου χειριστών (operators) που επιλέγουν προσεκτικά τα θύματα.

Δύο κινήσεις κοινωνικής μηχανικής που συγκλίνουν

Η αλυσίδα μόλυνσης του notnullOSX λειτουργεί με δύο παράλληλους, αλλά συγκλίνοντες μηχανισμούς κοινωνικής μηχανικής. Ο πρώτος εξαρτάται από μια παραπλανητική σελίδα που εμφανίζει ένα “προστατευμένο” έγγραφο Google και προτρέπει τον χρήστη να εκτελέσει εντολές στο Terminal. Ο δεύτερος χρησιμοποιεί μια μολυσμένη DMG που δείχνει έναν Finder φάκελο με κάποιο alias για Terminal, ένα αρχείο README και ένα Install.sh — όλα σχεδιασμένα ώστε ο χρήστης να «τρέξει το installer» και να εκτελέσει την ίδια base64 εντολή.

Σε αμφότερες τις περιπτώσεις δεν υπάρχει τεχνικό exploit του συστήματος· αντίθετα, ο χρήστης πείθεται να δώσει ο ίδιος την άδεια και να τρέξει το κακόβουλο σενάριο. Αυτή η προσέγγιση παρακάμπτει πολλαπλά σημεία ανίχνευσης: Gatekeeper, απλές τεχνικές σάρωσης και αυτοματοποιημένα sandboxes που εξαρτώνται από ανεπιθύμητα ή αυτόνομα εκτελέσιμα αρχείο. Η κοινωνική μηχανική είναι πλέον το βασικό παράθυρο εισόδου.

ClickFix: το κόλπο με την εντολή στο Terminal

Η αλυσίδα που οι ερευνητές αποκαλούν ClickFix ζητά από το θύμα να ανοίξει το Terminal και να επικολλήσει μια base64-encoded εντολή. Αυτή η εντολή κατεβάζει ένα bash installer, λήγει ένα Mach-O payload, αφαιρεί την καραντίνα (quarantine flag) του Gatekeeper, τοποθετεί το δυαδικό μέσα σε ένα φαινομενικά αθώο .app bundle και δημιουργεί έναν LaunchAgent για persistence. Στη συνέχεια, ο χρήστης καθοδηγείται βήμα-βήμα να δώσει στην εφαρμογή Full Disk Access από τις ρυθμίσεις απορρήτου (TCC), πράγμα που ουσιαστικά ανοίγει την πόρτα σε μηνύματα, αρχεία Notes, δεδομένα Safari και άλλα ευαίσθητα δεδομένα.

Το trick με την αφαίρεση της καραντίνας συνήθως γίνεται μέσω της xattr -d com.apple.quarantine ή παρόμοιας εντολής, ενώ το bundling του εκτελέσιμου μέσα σε .app και η καταγραφή σε LaunchAgent είναι κλασική μέθοδος επιμονής σε macOS. Ο χειριστής έτσι πετυχαίνει μακροπρόθεσμη παρουσία χωρίς απαραίτητα να χρειαστεί kernel exploits ή ιδιαίτερα περίτεχνες τεχνικές.

Η παγίδα της DMG και του alias

Στη δεύτερη ροή, ο χρήστης κατεβάζει μια DMG που ανοίγει έναν φάκελο με ένα Terminal alias και ένα README που εξηγεί πώς να τρέξει το installer (πάλι ως base64). Το alias ανοίγει Terminal μέσα από το mounted DMG, πράγμα που δίνει την ψευδαίσθηση ότι «όλα γίνονται τοπικά» και ενισχύει την εμπιστοσύνη ότι η διαδικασία είναι ασφαλής. Το αποτέλεσμα είναι το ίδιο: το αυτόματο σενάριο εγκαθιστά το notnullOSX και ζητά ή καθοδηγεί τη χορήγηση permissions.

Μαρκάρισμα ως WallSpace.app και χρήση YouTube

Για να φαίνεται νόμιμο, το κακόβουλο payload διανέμεται συχνά υπό την ονομασία WallSpace.app, παρουσιάζοντας μια υπηρεσία live wallpapers. Το site υπήρξε επαγγελματικά σχεδιασμένο και καθοδηγούσε χρήστες στο «Download Free» flow, αλλά οι ερευνητές εντόπισαν προειδοποιήσεις από το Cloudflare και άλλα σημάδια που οδήγησαν στην κατάργηση κάποιων download paths.

Επιπλέον, κερκόπορτα της διανομής ήταν ένα YouTube κανάλι με βίντεο που ξαφνικά απέκτησε χιλιάδες προβολές — μια συνηθισμένη τεχνική για την αύξηση της αξιοπιστίας: ένα παλιό αλλά ενεργοποιημένο κανάλι προωθεί ένα βίντεο-οδηγό και το κοινό κατευθύνεται στην σελίδα download. Αυτή η «βιομηχανία» διανομής συνδυάζει fake sites, SEO και social proof για να πείσει το επιλεγμένο θύμα.

Τι κλέβει το notnullOSX και πώς λειτουργεί

Το κύριο payload είναι ένα μεγάλο, multi-architecture Mach-O που υποστηρίζει Intel και Apple Silicon. Αφού λάβει Full Disk Access, γίνεται modular: κατεβάζει εξειδικευμένα modules από ένα CDN, τα τοποθετεί σε /tmp και τα εκτελεί για να συλλέξει συγκεκριμένα είδη στοιχείων. Επιβεβαιωμένα modules περιλαμβάνουν μεταξύ άλλων SystemInfo, iMessageGrab, AppleNotesGrab, SafariCookiesGrab, CryptoWalletsGrab, TelegramGrab και CredsGrab. Κάθε module είναι σχεδιασμένο να στοχοποιεί μία κατηγορία δεδομένων, από ιστορικά browser μέχρι seed phrases και ssh keys.

Μια ιδιαίτερα ανησυχητική ικανότητα είναι το module ReplaceApp, το οποίο αντικαθιστά νόμιμες εφαρμογές με trojanized κλώνους διατηρώντας τα εικονίδια. Αυτό επιτρέπει στους επιτιθέμενους να παγιδεύουν χρήστες τη στιγμή της αρχικής ρύθμισης ενός hardware wallet ή μιας διαχειριστικής εφαρμογής, αποσπώντας seed phrases και ιδιωτικά κλειδιά κατά τη διαδικασία που θεωρητικά είναι ασφαλής.

Επικοινωνία ελέγχου και ανίχνευση

Εκεί όπου το notnullOSX ξεχωρίζει τεχνικά είναι η χρήση του Firebase Realtime Database σαν κανάλι επικοινωνίας (C2). Αντί για παραδοσιακόs WebSocket ή custom TCP, το implant χρησιμοποιεί μια WebSocket-like συμπεριφορά με server-sent events για εντολές εισερχόμενες και JSON posts για αποτελέσματα. Η χρήση μιας αξιόπιστης, νόμιμης cloud πλατφόρμας δυσκολεύει την αναγνώριση του C2 traffic, καθώς φαίνεται σαν κανονική χρήση υπηρεσίας cloud.

Οι μηχανισμοί ανίχνευσης μέχρι στιγμής είναι ανεπαρκείς: πολλοί antivirus engines είτε δεν εντοπίζουν το κύριο binary είτε δίνουν παραπλανητικές ετικέτες όπως «adware» ή «potentially unwanted», υποτιμώντας την πραγματική κακόβουλη ικανότητα του εργαλείου. Πρώτες in-the-wild detections αναφέρθηκαν τον Μάρτιο του 2026 σε χρήστες σε Βιετνάμ, Ταϊβάν και Ισπανία, επιβεβαιώνοντας ότι δεν πρόκειται για θεωρητική απειλή αλλά για ενεργή εκστρατεία.

Τι μπορούν να κάνουν οι χρήστες και οι οργανισμοί

Η πρώτη και πιο κρίσιμη οδηγία είναι απλή: μη διακόπτετε την αντιληπτική σας επαγρύπνηση όταν εμφανίζεται οδηγία να τρέξετε εντολή στο Terminal. Κανένα νόμιμο site δεν θα απαιτήσει τυχαία ένα paste μιας base64 εντολής χωρίς σαφή τεχνική εξήγηση και επαλήθευση. Επίσης, απενεργοποιήστε την επιλογή του Safari να ανοίγει αυτόματα «safe» αρχεία μετά τη λήψη, και προτιμάτε εφαρμογές από το Mac App Store ή από επίσημες σελίδες των κατασκευαστών.

Σε επίπεδο συστήματος, ελέγχετε περιοδικά τις ρυθμίσεις TCC (Full Disk Access, Accessibility), απαγορεύστε άγνωστες εφαρμογές, ελέγχετε LaunchAgents/LaunchDaemons και αναζητάτε ύποπτες καταχωρίσεις. Οι οργανισμοί πρέπει να εφαρμόσουν MDM πολιτικές που περιορίζουν την εγκατάσταση λογισμικού, να καταγράψουν και να μπλοκάρουν γνωστές κακόβουλες domains στο DNS και να έχουν διαδικασίες άμεσης απόσυρσης δικαιωμάτων όταν υπάρχει υποψία συμβάντος.

Γιατί έχει σημασία

Η περίπτωση του notnullOSX δείχνει τρεις ευρείες τάσεις: πρώτον, το macOS δεν είναι πλέον δεύτερης κατηγορίας στόχος· επιτιθέμενοι επενδύουν σε εργαλεία για την πλατφόρμα. Δεύτερον, οι επιθέσεις που εκμεταλλεύονται άμεση ανθρώπινη εντολή στο Terminal γίνονται mainstream και αποφεύγουν πολλά τεχνικά εμπόδια. Τρίτον, οι χρήστες με σημαντικές crypto θέσεις είναι προνομιακοί στόχοι· οι επιτιθέμενοι όχι μόνο κλέβουν αλλά και σχεδιάζουν μακροπρόθεσμα εργαλεία για διαρκή πρόσβαση.

Στο ευρωπαϊκό και ελληνικό πλαίσιο, η αύξηση τέτοιων στοχευμένων επιθέσεων συμπίπτει με μεγαλύτερη υιοθέτηση crypto και με αυστηρότερες απαιτήσεις για αναφορές συμβάντων (NIS2, κανόνες incident reporting). Ο συνδυασμός τεχνολογικών κινδύνων και κανονιστικών απαιτήσεων σημαίνει ότι εταιρείες που φιλοξενούν ή διαχειρίζονται ψηφιακά περιουσιακά στοιχεία θα πρέπει να επενδύσουν περισσότερο σε εκπαίδευση χρηστών, τεχνική ασφάλεια και πολιτικές πρόσβασης.

Τελικές σκέψεις και προοπτικές

Το notnullOSX είναι δείγμα μιας πιο στοχευμένης, επαγγελματικής προσέγγισης στο χώρο του malware: gated affiliate panels, εξατομικευμένα lures, χρήση νόμιμων cloud υπηρεσιών σαν C2 και modules που επιτρέπουν μακροχρόνια εκμετάλλευση. Αν είστε κάτοχος κρυπτο-πορτοφολίου, η ασφάλεια δεν είναι μόνο τεχνολογική πρακτική αλλά και συνήθεια συμπεριφοράς. Κρατήστε seed phrases offline, χρησιμοποιήστε hardware wallets με ελεγχόμενες διαδικασίες υπογραφής και προτιμήστε διαχωρισμό εργασιών: διαχείριση finances σε ξεχωριστές, καλά προστατευμένες μηχανές.

Η έκβαση θα εξαρτηθεί από την ικανότητα των προμηθευτών ασφαλείας να εντοπίσουν το C2 που χρησιμοποιεί νόμιμες υπηρεσίες και από το επίπεδο ενημέρωσης των τελικών χρηστών. Μέχρι τότε, η καλύτερη άμυνα παραμένει η επιφυλακτικότητα: μην τρέχετε άγνωστες εντολές, ελέγχετε downloads και περιορίζετε τα δικαιώματα που δίνετε σε εφαρμογές.