Die Malware „Mach-O Man“ stiehlt Daten aus dem macOS-Schlüsselbund im Rahmen einer Krypto-Kampagne der Lazarus-Gruppe

• Die nordkoreanische Lazarus-Gruppe setzte im April 2026 die Malware „Mach-O Man“ ein, die auf macOS-Nutzer in Krypto- und Fintech-Positionen abzielte.
• Das Quetzal-Team von Bitso bestätigte, dass das mit Go kompilierte Kit in vier Schritten den Diebstahl von Anmeldedaten, den Zugriff auf den Schlüsselbund und die Exfiltration von Daten ermöglicht.
• Sicherheitsforscher forderten Unternehmen am 22. April 2026 dringend auf, Terminal-basierte ClickFix-Köder zu blockieren und LaunchAgents auf Onedrive-Tarn-Dateien zu überprüfen.

Forscher decken nordkoreanische macOS-Malware auf, die auf US-Krypto- und Web3-Unternehmen abzielt

Sicherheitsforscher des Quetzal-Teams von Bitso, die mit der Sandbox-Plattform ANY.RUN zusammenarbeiteten, veröffentlichten das Kit am 21. April 2026, nachdem sie eine Kampagne analysiert hatten, die sie „North Korea’s Safari“ nannten. Das Team brachte das Kit mit den jüngsten groß angelegten Krypto-Diebstählen von Lazarus in Verbindung, darunter Angriffe auf KelpDAO und Drift, und verwies dabei auf die konsequente Ausrichtung der Gruppe auf hochkarätige macOS-Nutzer in Web3- und Fintech-Funktionen.

Mach-O Man ist in Go geschrieben und als Mach-O-Binärdateien kompiliert, wodurch es sowohl auf Intel- als auch auf Apple-Silicon-Rechnern nativ läuft. Das Kit läuft in vier verschiedenen Phasen ab und ist darauf ausgelegt, Browser-Anmeldedaten, Einträge im macOS-Schlüsselbund und Zugriff auf Krypto-Konten zu sammeln, bevor es seine Spuren löscht.

Die Infektion beginnt mit Social Engineering, nicht mit einem Software-Exploit. Angreifer kompromittieren oder imitieren Telegram-Konten von Kollegen aus Web3- und Krypto-Kreisen. Das Ziel erhält eine dringende Einladung zu einem Meeting über Zoom, Microsoft Teams oder Google Meet, die auf eine überzeugende gefälschte Website wie update-teams.live oder livemicrosft.com verweist.

Die gefälschte Website zeigt einen simulierten Verbindungsfehler an und weist den Benutzer an, einen Terminal-Befehl zu kopieren und einzufügen, um diesen zu beheben. Diese als „Clickfix“ bekannte und hier für macOS angepasste Technik veranlasst den Benutzer, die erste Stager-Datei, teamsSDK.bin, über curl auszuführen. Da der Benutzer den Befehl manuell ausführt, wird er von macOS Gatekeeper nicht blockiert.

Der Stager lädt ein gefälschtes App-Bundle herunter, versieht es mit einer Ad-hoc-Code-Signatur, um es legitim erscheinen zu lassen, und fordert den Nutzer zur Eingabe seines macOS-Passworts auf. Das Fenster wackelt bei den ersten beiden Versuchen und akzeptiert die Anmeldedaten beim dritten – eine bewusste Designentscheidung, um falsches Vertrauen aufzubauen.

Dem Bericht des Forschers und anderen Darstellungen zufolge listet eine Profiler-Binärdatei anschließend den Hostnamen, die UUID, die CPU, Betriebssystemdetails, laufende Prozesse sowie Browser-Erweiterungen in Brave, Chrome, Firefox, Safari, Opera und Vivaldi auf. Die Forscher stellten fest, dass der Profiler einen Programmierfehler enthält, der eine Endlosschleife erzeugt und zu merklichen CPU-Spitzen führt, die eine aktive Infektion offenbaren können.

Ein Persistenzmodul legt dann eine umbenannte Datei namens „Onedrive“ in einem versteckten Pfad unter einem Ordner mit der Bezeichnung „Antivirus Service“ ab und registriert einen Launchagent namens „com.onedrive.launcher.plist“, damit dieser beim Anmelden automatisch ausgeführt wird.

In der letzten Phase sammelt eine als „macrasv2“ bezeichnete Stealer-Binärdatei Daten von Browser-Erweiterungen, SQLite-Datenbanken mit Anmeldedaten und Keychain-Einträge, komprimiert diese in eine ZIP-Datei und exfiltriert das Paket über die Telegram-Bot-API. Die Forscher fanden das Telegram-Bot-Token in der Binärdatei, was sie als schwerwiegenden Sicherheitsfehler bezeichneten, der es Verteidigern ermöglichen könnte, den Kanal zu überwachen oder zu stören.

Das Quetzal-Team veröffentlichte SHA-256-Hashes für alle wichtigen Komponenten sowie Netzwerkindikatoren, die auf die IP-Adressen 172.86.113.102 und 144.172.114.220 hinweisen. Sicherheitsforscher stellten fest, dass das Kit auch von anderen Gruppen als Lazarus genutzt wurde, was darauf hindeutet, dass die Tools innerhalb des Ökosystems der Bedrohungsakteure geteilt oder verkauft wurden.

Lazarus, von Bedrohungsanalyseunternehmen auch als Famous Chollima bezeichnet, wird für Kryptowährungsdiebstähle in Milliardenhöhe in den letzten Jahren verantwortlich gemacht. Zu den früheren macOS-Tools der Gruppe gehörten Applejeus und Rustbucket. Mach-O Man verfolgt dasselbe Zielprofil und senkt gleichzeitig die technische Hürde für Angriffe auf macOS.

Sicherheitsteams bei Krypto- und Fintech-Unternehmen wird empfohlen, Launchagents-Verzeichnisse zu überprüfen, auf Onedrive-Prozesse zu achten, die von ungewöhnlichen Dateipfaden aus laufen, und ausgehenden Telegram-Bot-API-Datenverkehr zu blockieren, sofern dieser nicht betrieblich erforderlich ist. Benutzer sollten niemals Terminalbefehle einfügen, die von Webseiten kopiert wurden, oder unaufgeforderte Meeting-Links verwenden.

Unternehmen, die macOS-Flotten in stark Apple-lastigen Krypto-Umgebungen betreiben, sollten jeden dringenden, unaufgeforderten Meeting-Link als potenziellen Angriffspunkt betrachten, bis er über einen separaten Kommunikationskanal verifiziert wurde.