Malware Mach-O Man krade data z klíčenky macOS v rámci kryptoměnové kampaně skupiny Lazarus

Hlavní body:

• Severokorejská skupina Lazarus nasadila v dubnu 2026 malware Mach-O Man zaměřený na uživatele macOS působící v oblasti kryptoměn a fintechu.
• Tým Quetzal společnosti Bitso potvrdil, že tento kit zkompilovaný v jazyce Go umožňuje krádež přihlašovacích údajů, přístup ke klíčence a exfiltraci dat ve čtyřech fázích.
• Bezpečnostní výzkumníci 22. dubna 2026 vyzvaly firmy, aby blokovaly návnady ClickFix v Terminálu a prověřily LaunchAgents kvůli souborům maskujícím se jako Onedrive.

Výzkumníci odhalili severokorejský malware pro macOS zaměřený na americké kryptoměnové a Web3 firmy

Bezpečnostní výzkumníci z týmu Quetzal společnosti Bitso, spolupracující s platformou sandboxu ANY.RUN, tento kit veřejně odhalili 21. dubna 2026 po analýze kampaně, kterou pojmenovali „North Korea's Safari“. Tým spojil tento kit s nedávnými rozsáhlými krádežemi kryptoměn skupinou Lazarus, včetně útoků na KelpDAO a Drift, a poukázal na to, že se tato skupina soustavně zaměřuje na významné uživatele macOS v oblastech Web3 a fintech.

Mach-O Man je napsán v jazyce Go a zkompilován jako binární soubory Mach-O, díky čemuž je nativní jak pro stroje s procesory Intel, tak pro Apple Silicon. Sada běží ve čtyřech odlišných fázích a je navržena tak, aby získala přihlašovací údaje prohlížeče, položky klíčenky macOS a přístup k kryptoměnovým účtům, než smaže stopy po sobě.

Infekce začíná sociálním inženýrstvím, nikoli softwarovým exploitem. Útočníci kompromitují nebo se vydávají za účty Telegramu patřící kolegům v kruzích Web3 a kryptoměn. Cíl obdrží urgentní pozvánku na schůzku přes Zoom, Microsoft Teams nebo Google Meet, která odkazuje na přesvědčivý falešný web, jako je update-teams.live nebo livemicrosft.com.

Falešná stránka zobrazí simulovanou chybu připojení a vyzve uživatele, aby ji vyřešil zkopírováním a vložením příkazu do Terminálu. Tato technika, známá jako Clickfix a zde přizpůsobená pro macOS, vede uživatele k provedení počátečního stagerového souboru teamsSDK.bin pomocí curl. Protože uživatel příkaz spustí ručně, macOS Gatekeeper jej nezablokuje.

Stager stáhne falešný balíček aplikace, použije ad-hoc podpis kódu, aby vypadal legitimně, a vyzve uživatele k zadání hesla pro macOS. Okno se při prvních dvou pokusech chvěje a při třetím přijme přihlašovací údaje, což je záměrný designový prvek k vybudování falešné důvěry.

Od tohoto okamžiku, jak uvádí zpráva výzkumníků a další zprávy, binární soubor profileru zjišťuje název hostitele počítače, UUID, CPU, podrobnosti o operačním systému, spuštěné procesy a rozšíření prohlížečů v prohlížečích Brave, Chrome, Firefox, Safari, Opera a Vivaldi. Výzkumníci zaznamenali, že profiler obsahuje chybu v kódu, která vytváří nekonečnou smyčku, což způsobuje znatelné výkyvy v zatížení CPU, které mohou odhalit aktivní infekci.

Modul pro perzistenci poté umístí přejmenovaný soubor s názvem Onedrive do skryté cesty ve složce s názvem „Antivirus Service“ a zaregistruje Launchagent s názvem com.onedrive.launcher.plist, aby se spouštěl automaticky při přihlášení.

V závěrečné fázi binární soubor typu stealer s názvem macrasv2 shromažďuje data rozšíření prohlížeče, databáze přihlašovacích údajů SQLite a položky Keychain, komprimuje je do souboru ZIP a exfiltruje balíček prostřednictvím API Telegram Bot. Výzkumníci objevili v binárním souboru odhalený token Telegram botu, což popsali jako závažné selhání operační bezpečnosti, které by mohlo umožnit obráncům monitorovat nebo narušit kanál.

Tým Quetzal zveřejnil SHA-256 hash všech hlavních komponent spolu s síťovými indikátory směřujícími na IP adresy 172.86.113.102 a 144.172.114.220. Bezpečnostní výzkumníci poznamenali, že tento kit byl pozorován v použití i u jiných skupin než Lazarus, což naznačuje, že tyto nástroje byly sdíleny nebo prodány v rámci ekosystému útočníků.

Skupina Lazarus, kterou firmy zabývající se analýzou hrozeb sledují také pod názvem Famous Chollima, je v posledních několika letech spojována s krádežemi kryptoměn v hodnotě miliard dolarů. Mezi předchozí nástroje této skupiny pro macOS patřily Applejeus a Rustbucket. Mach-O Man sleduje stejný profil cílů a zároveň snižuje technickou bariéru pro kompromitaci systému macOS.

Bezpečnostním týmům v kryptoměnových a fintechových firmách se doporučuje provést audit adresářů Launchagents, sledovat procesy Onedrive běžící z neobvyklých cest k souborům a blokovat odchozí provoz Telegram Bot API, pokud to není z provozního hlediska nutné. Uživatelé by nikdy neměli vkládat příkazy Terminálu zkopírované z webových stránek nebo nevyžádané odkazy na schůzky.

Organizace provozující flotily macOS v kryptoměnových prostředích s převahou zařízení Apple by měly považovat jakýkoli urgentní, nevyžádaný odkaz na schůzku za potenciální vstupní bod, dokud nebude ověřen prostřednictvím samostatného komunikačního kanálu.