Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Abusan de una app falsa de fondos y un canal de YouTube para difundir el malware notnullOSX


Un nuevo malware para macOS llamado notnullOSX ha surgido a principios de 2026, diseñado específicamente para robar criptomonedas de usuarios de Mac que poseen activos digitales valorados en más de $10,000. La amenaza es real, activa y está cuidadosamente construida para parecer completamente legítima en cada paso de su proceso de infección. 




Un nuevo malware para macOS llamado notnullOSX ha aparecido a principios de 2026, diseñado específicamente para robar criptomonedas de usuarios de Mac que poseen activos digitales valorados en más de $10,000.

La amenaza es real, activa y está cuidadosamente construida para parecer completamente legítima en cada paso de su proceso de infección.

La historia detrás de este malware se remonta a 2023, cuando un desarrollador conocido en línea como 0xFFF abandonó abruptamente un conocido foro de hacking underground después de ser engañado para creer que los servicios de seguridad rusos y ucranianos lo estaban investigando.

En agosto de 2024, regresó bajo un nuevo alias, alh1mik, con una disculpa y una oferta concreta: readmisión a cambio de un nuevo stealer para macOS.

Para principios de 2026, esa promesa se convirtió en notnullOSX, un sofisticado stealer escrito en Go, distribuido mediante ingeniería social, una falsa aplicación de fondos de pantalla y un canal de YouTube secuestrado.

El malware fue creado con un único objetivo en mente: vaciar las carteras de criptomonedas con saldos superiores a $10,000 de usuarios de macOS.

Investigadores de Moonlock Lab identificaron y registraron las primeras detecciones de notnullOSX el 30 de marzo de 2026, en tres regiones: Vietnam, Taiwán y España.

Su análisis de telemetría reveló una operación de distribución multicapa que combinaba documentos falsos de Google, un sitio web pulido de fondos de pantalla falsos y una cuenta robada de YouTube para llegar a usuarios desprevenidos de Mac.

El objetivo no es aleatorio. Antes de contactar a una víctima, los operadores completan manualmente un formulario de envío identificando la dirección de la cartera del objetivo, sus perfiles en redes sociales y el saldo de la cartera.

La documentación del panel establece explícitamente que el umbral mínimo es $10,000, y las solicitudes por debajo de esa cantidad simplemente no se procesan.

El ataque comienza cuando una víctima recibe un falso documento de Google "protegido". Al abrirlo, muestra una interfaz convincente pero fraudulenta con un error de cifrado, falsamente atribuido a un "Google API Connector" desactualizado.

Aparecen dos opciones para solucionar el problema. Ambas entregan el mismo malware. Una ruta, llamada ClickFix, presenta un comando de Terminal que, al pegarse y ejecutarse, descarga e instala silenciosamente el malware.

La segunda ruta utiliza un archivo de imagen de disco falso llamado WallSpace.app, disfrazado como una legítima aplicación de fondos de pantalla en vivo para macOS.

El tráfico hacia el sitio malicioso fue impulsado por un canal de YouTube secuestrado registrado en 2015, que había acumulado 50,000 vistas en dos semanas tras publicar un solo video.

Una cuenta de una década con pocos suscriptores que de repente acumula decenas de miles de vistas en un solo video es una señal clara de que la cuenta fue comprometida y utilizada para difundir el malware a espectadores desprevenidos.

Una vez instalado, notnullOSX opera de manera silenciosa y persistente, extrayendo datos de iMessages, Apple Notes, cookies de Safari, contraseñas del navegador, sesiones de Telegram y una amplia gama de carteras de criptomonedas, incluyendo Bitcoin Core, Exodus y Electrum.

Quizás lo más preocupante es un módulo llamado ReplaceApp, que reemplaza silenciosamente aplicaciones legítimas de carteras de hardware como Ledger Live con clones maliciosos diseñados para interceptar frases semilla durante la configuración de la cartera, algo que muchos usuarios nunca detectarían.

El implante también mantiene una conexión en vivo con el servidor del atacante, lo que significa que los operadores pueden enviar nuevas instrucciones a las máquinas infectadas mucho después del compromiso inicial.

Cómo funciona la cadena de infección

La ruta de infección ClickFix depende en gran medida de la confianza que los desarrolladores y usuarios de criptomonedas depositan en su propia aplicación de Terminal. El comando codificado en base64 que se muestra a la víctima se decodifica en un comando curl que descarga un script de instalación bash desde un servidor remoto.

Ese script descarga un binario Mach-O, lo hace ejecutable, elimina la bandera de cuarentena de Gatekeeper de Apple y configura un LaunchAgent para ejecutarse automáticamente al inicio.

Luego, se guía a la víctima para que active el Acceso Total al Disco en la Configuración del Sistema, que es el paso más crítico de toda la cadena.

Comando de Terminal ClickFix como se ve en el señuelo de notnullOSX (Fuente - Moonlock)
Comando de Terminal ClickFix como se ve en el señuelo de notnullOSX (Fuente – Moonlock)

Conceder Acceso Total al Disco elude por completo el marco TCC (Transparencia, Consentimiento y Control) de macOS.

Este marco normalmente requiere solicitudes de permiso individuales antes de que cualquier aplicación pueda leer datos sensibles como Mensajes, Notas, cookies de Safari y Contactos.

Una vez que la víctima concede Acceso Total al Disco, el malware evita silenciosamente cada una de esas solicitudes individuales al mismo tiempo, leyendo cada carpeta protegida sin activar ni una sola ventana emergente.

La víctima entrega voluntariamente las llaves porque cree que es un requisito normal de instalación.

Página falsa de producto WallSpace utilizada como señuelo de distribución (Fuente - Moonlock)
Página falsa de producto WallSpace utilizada como señuelo de distribución (Fuente – Moonlock)

La ruta de infección a través del DMG de la falsa aplicación WallSpace es igualmente engañosa, pero un poco más simple desde la perspectiva de la víctima. Al montar la imagen de disco, se revelan tres archivos: un script de instalación, un archivo README y un acceso directo a Terminal.

El README guía a la víctima a través de los pasos, mientras que el acceso directo abre Terminal automáticamente desde el volumen montado. El script de instalación, a pesar de tener casi 299 KB, se presenta como un bloque de texto plano.

Al decodificarse, emerge el mismo implante de malware utilizado en la cadena ClickFix.

Canal de YouTube secuestrado alojando el video falso de WallSpace (Fuente - Moonlock)
Canal de YouTube secuestrado alojando el video falso de WallSpace (Fuente – Moonlock)

El análisis de Moonlock Lab confirmó que el binario del malware es un archivo Mach-O multi-arquitectura de 27.74 MB, construido tanto para Macs con Apple Silicon como para Intel. En el momento del descubrimiento, solo 10 de 64 proveedores en VirusTotal lo marcaron, lo que significa que la gran mayoría de las herramientas de detección estándar lo habrían pasado por alto.

Tú y los equipos de seguridad deberían tomar las siguientes medidas para protegerse contra notnullOSX y amenazas similares:

  • Nunca pegues comandos de Terminal obtenidos de un navegador, un documento o la descripción de un video de YouTube.
  • Trata cualquier aplicación que solicite Acceso Total al Disco durante la instalación como sospechosa y verifica al desarrollador antes de concederlo.
  • Audita regularmente la carpeta ~/Library/LaunchAgents/ en busca de archivos desconocidos o inesperados.
  • Los equipos de seguridad deberían bloquear y monitorear conexiones salientes a mactest-6b2ab-default-rtdb[.]firebaseio.com y marcar binarios Mach-O descargados desde cdn.filestackcontent[.]com.
  • Alertar sobre cualquier proceso que llame a xattr -rd com.apple.quarantine desde un contexto de navegador o documento.
  • Revisa regularmente el directorio /tmp en busca de archivos Mach-O de corta duración, especialmente aquellos con nombres que coincidan con patrones como SystemInfoGrab, CryptoWalletsGrab o ReplaceApp.




Fuentes:
https://cybersecuritynews.com/hackers-abuse-fake-wallpaper-app/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.