Põhja-Korea rühmitus Lazarus on kasutusele võtnud modulaarse macOS-i pahavarakomplekti nimega Mach-O Man, mis kasutab võltsitud koosolekukutseid, et varastada fintech-ettevõtete juhtidelt ja arendajatelt kasutajatunnuseid ja juurdepääsu krüptorahakottidele.
Mach-O Man-pahavara varastab macOS-i võtmehoidja andmeid Lazarus-grupi krüptovaluuta-kampaania raames
KIRJUTAS
JAGA
Peamised järeldused:
- Põhja-Korea Lazarus Group võttis 2026. aasta aprillis kasutusele Mach-O Man pahavara, mis on suunatud krüptovaluuta- ja fintech-valdkonnas töötavatele macOS-kasutajatele.
- Bitso Quetzal Team kinnitas, et Go-keeles koostatud komplekt võimaldab nelja etapiga varastada kasutajatunnuseid, pääseda ligi võtmehoidjale ja varastada andmeid.
- Turvauurijad kutsusid 22. aprillil 2026. aastal ettevõtteid üles blokeerima Terminalil põhinevaid ClickFix-lõkse ja auditeerima LaunchAgentsi Onedrive'i maskeeritud failide suhtes.
Teadlased paljastavad Põhja-Korea macOS-i pahavara, mis on suunatud USA krüptovaluuta- ja Web3-ettevõtetele
Bitso Quetzal Teami turbeuurijad, kes töötasid koos ANY.RUNi sandbox-platvormiga, avalikustasid komplekti 21. aprillil 2026 pärast kampaaniat, mille nad nimetasid „Põhja-Korea Safari”, analüüsimist. Meeskond seostas komplekti Lazaruse hiljutiste suuremahuliste krüptovargustega, sealhulgas rünnakutega KelpDAO-le ja Driftile, viidates rühma järjepidevale sihtimisele Web3- ja fintech-rollides olevatele kõrge väärtusega macOS-kasutajatele.
Mach-O Man on kirjutatud Go-keeles ja kompileeritud Mach-O-binaaridena, mistõttu on see natiivne nii Intel- kui ka Apple Silicon-masinatel. Komplekt töötab neljas erinevas etapis ja on mõeldud brauseri kasutajatunnuste, macOS-i võtmehoidja sissekannete ja krüptovaluuta kontode juurdepääsu andmete kogumiseks, enne kui see enda jäljed kustutab.
Nakatumine algab sotsiaalse inseneriga, mitte tarkvara ekspluateerimisega. Ründajad häkkivad või teesklevad Web3- ja krüptovaldkonna kolleegide Telegram-kontosid. Sihtmärk saab kiireloomulise koosolekukutse Zoomis, Microsoft Teamsis või Google Meetis, mis viitab veenvale võltsveebilehele, nagu update-teams.live või livemicrosft.com.
Võltsveebisait kuvab simuleeritud ühendusvea ja juhendab kasutajat selle lahendamiseks kopeerima ja kleepima terminali käsu. See Clickfix-nimeline tehnika, mis on siin kohandatud macOS-ile, suunab kasutaja käivitama esialgse stager-faili teamsSDK.bin curl-i kaudu. Kuna kasutaja käivitab käsu käsitsi, ei blokeeri macOS Gatekeeper seda.
Stager laadib alla võltsitud rakenduste paketi, rakendab ad-hoc-koodi allkirjastamist, et see näiks õiguspärasena, ja küsib kasutajalt tema macOS-i parooli. Aken väriseb kahel esimesel katsel ja aktsepteerib kasutajatunnuse kolmandal katsel – see on teadlik disainivalik, et luua vale usaldus.
Sealt edasi, nagu uurija raport ja muud kirjeldused ütlevad, loendab profiilija binaar faili masina hostnime, UUID-i, CPU-d, operatsioonisüsteemi detaile, käimasolevaid protsesse ja brauseri laiendusi Brave'is, Chrome'is, Firefoxis, Safaris, Operas ja Vivaldis. Uurijad märkasid, et profiilija sisaldab koodivea, mis loob lõputu tsükli, põhjustades märgatavaid CPU-piike, mis võivad paljastada aktiivse nakkuse.
Seejärel paigutab püsivusmoodul ümbernimetatud faili nimega Onedrive peidetud kataloogi nimega „Antivirus Service” ja registreerib käivitusagendi nimega com.onedrive.launcher.plist, et see käivituks automaatselt sisselogimisel.
Viimases etapis kogub varastamisbinaar nimega macrasv2 brauseri laienduste andmeid, SQLite'i autentimisandmete andmebaase ja võtmehoidja objekte, pakib need zip-failiks ja eksfiltreerib paketi Telegram Bot API kaudu. Teadlased leidsid binaarist avatud Telegram-boti tokeni, mida nad kirjeldasid kui suurt operatiivset turvalisuse viga, mis võimaldaks kaitsjatel kanalit jälgida või häirida.
Quetzal Team avaldas SHA-256-hashid kõigi peamiste komponentide jaoks koos võrguindikaatoritega, mis viitavad IP-aadressidele 172.86.113.102 ja 144.172.114.220. Turvauurijad märkisid, et komplekti on kasutamisel täheldatud ka teiste rühmade poolt peale Lazaruse, mis viitab sellele, et tööriistu on jagatud või müüdud ohuallikate ökosüsteemis.
Lazarus, mida ohuteabefirmad jälgivad ka nime all Famous Chollima, on viimaste aastate jooksul seotud miljardite dollarite väärtuses krüptovaluuta vargustega. Rühma varasemad macOS-tööriistad hõlmasid Applejeust ja Rustbucketi. Mach-O Man järgib sama sihtmärgi profiili, alandades samal ajal tehnilist barjääri macOS-i ründamiseks.
Volo Protocol kaotab Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit ja blokeerib WBTC-silla rünnaku
Volo Protocol kaotas 21. aprillil 2026. aastal Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit. Rünnaku käigus tühjendati WBTC-, XAUm- ja USDC-hoiukambrid. read more.
Loe nüüd
Volo Protocol kaotab Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit ja blokeerib WBTC-silla rünnaku
Volo Protocol kaotas 21. aprillil 2026. aastal Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit. Rünnaku käigus tühjendati WBTC-, XAUm- ja USDC-hoiukambrid. read more.
Loe nüüdVolo Protocol kaotab Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit ja blokeerib WBTC-silla rünnaku
Loe nüüdVolo Protocol kaotas 21. aprillil 2026. aastal Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit. Rünnaku käigus tühjendati WBTC-, XAUm- ja USDC-hoiukambrid. read more.
Krüptovaluuta- ja fintech-ettevõtete turvateenistustel soovitatakse auditeerida Launchagentsi katalooge, jälgida Onedrive'i protsesse, mis töötavad ebatavalistest failide asukohtadest, ning blokeerida väljaminev Telegram Bot API liiklus, kui see ei ole operatiivseks tööks vajalik. Kasutajad ei tohiks kunagi kleepida terminali käske, mis on kopeeritud veebilehtedelt või soovimatutest koosolekute linkidest.
Organisatsioonid, kes kasutavad macOS-seadmeid Apple'i-domineerivas krüptovaluuta keskkonnas, peaksid käsitlema kõiki kiireloomulisi, soovimatuid koosolekute linke potentsiaalsete sissetungipunktidena, kuni need on eraldi suhtluskanali kaudu kinnitatud.
