بدافزار «Mach-O Man» داده‌های کی‌چین macOS را در کمپین رمزارزی گروه لازاروس سرقت می‌کند

نکات کلیدی:

• گروه لازاروسِ کره شمالی در آوریل ۲۰۲۶ بدافزار Mach-O Man را با هدف کاربران macOS در نقش‌های مرتبط با کریپتو و فین‌تک مستقر کرد.
• تیم Quetzal از Bitso تأیید کرد این کیتِ کامپایل‌شده با Go در چهار مرحله امکان سرقت اعتبارنامه‌ها، دسترسی به Keychain و استخراج داده را فراهم می‌کند.
• پژوهشگران امنیتی در ۲۲ آوریل ۲۰۲۶ از شرکت‌ها خواستند فریب‌های ClickFix مبتنی بر Terminal را مسدود کنند و LaunchAgents را برای فایل‌های جعل‌شده با ظاهر Onedrive ممیزی کنند.

پژوهشگران بدافزار macOS کره شمالی را که شرکت‌های کریپتویی و وب۳ آمریکا را هدف گرفته افشا کردند

پژوهشگران امنیتی در تیم Quetzal از Bitso، همراه با پلتفرم سندباکس ANY.RUN، در تاریخ ۲۱ آوریل ۲۰۲۶ پس از تحلیل کارزاری که آن را «سافاری کره شمالی» نامیدند، این کیت را به‌صورت عمومی افشا کردند. این تیم کیت را به سرقت‌های بزرگ اخیر رمزارزیِ لازاروس مرتبط دانست، از جمله حملات به KelpDAO و Drift و به هدف‌گیری مداوم این گروه از کاربران macOS با ارزش بالا در نقش‌های وب۳ و فین‌تک اشاره کرد.

Mach-O Man با زبان Go نوشته شده و به‌صورت باینری‌های Mach-O کامپایل می‌شود و همین باعث می‌شود روی هر دو نوع دستگاه‌های Intel و Apple Silicon بومی اجرا شود. این کیت در چهار مرحله مجزا اجرا می‌شود و برای برداشت اعتبارنامه‌های مرورگر، ورودی‌های Keychain در macOS و دسترسی به حساب‌های رمزارزی طراحی شده است، پیش از آنکه ردپای خود را حذف کند.

آلودگی با مهندسی اجتماعی آغاز می‌شود، نه با سوءاستفاده از یک نقص نرم‌افزاری. مهاجمان حساب‌های تلگرام متعلق به همکاران در حلقه‌های وب۳ و کریپتو را نفوذ می‌کنند یا خود را جای آنها جا می‌زنند. هدف یک دعوت‌نامه فوری جلسه برای Zoom، Microsoft Teams یا Google Meet دریافت می‌کند که به یک سایت جعلی متقاعدکننده مانند update-teams.live یا livemicrosft.com لینک می‌دهد.

سایت جعلی یک خطای اتصال شبیه‌سازی‌شده نمایش می‌دهد و به کاربر دستور می‌دهد برای رفع آن یک فرمان Terminal را کپی و پیست کند. این تکنیک که Clickfix نام دارد و در اینجا برای macOS سازگار شده، باعث می‌شود کاربر فایل استیجر اولیه یعنی teamsSDK.bin را از طریق curl اجرا کند. چون کاربر فرمان را دستی اجرا می‌کند، Gatekeeper در macOS آن را مسدود نمی‌کند.

استیجر یک بسته اپلیکیشن جعلی دانلود می‌کند، امضای کد ad-hoc را اعمال می‌کند تا مشروع به نظر برسد، و از کاربر رمز عبور macOS را درخواست می‌کند. پنجره در دو تلاش اول می‌لرزد و در تلاش سوم اعتبارنامه را می‌پذیرد؛ یک انتخاب طراحی عمدی برای ایجاد اعتماد کاذب.

از آنجا به بعد، گزارش پژوهشگر و گزارش‌های دیگر می‌گویند یک باینری پروفایلر نام میزبان، UUID، CPU، جزئیات سیستم‌عامل، فرایندهای در حال اجرا و افزونه‌های مرورگر را در Brave، Chrome، Firefox، Safari، Opera و Vivaldi فهرست می‌کند. پژوهشگران اشاره کردند پروفایلر یک باگ برنامه‌نویسی دارد که یک حلقه بی‌نهایت ایجاد می‌کند و باعث جهش محسوس مصرف CPU می‌شود؛ چیزی که می‌تواند یک آلودگی فعال را آشکار کند.

سپس یک ماژول ماندگاری، فایلی با نام تغییر یافته Onedrive را در یک مسیر پنهان زیر پوشه‌ای با برچسب «Antivirus Service» قرار می‌دهد و یک Launchagent با نام com.onedrive.launcher.plist ثبت می‌کند تا هنگام ورود به سیستم به‌صورت خودکار اجرا شود.

مرحله نهایی، یک باینری سرقت‌گر با برچسب macrasv2 است که داده‌های افزونه‌های مرورگر، پایگاه‌های داده اعتبارنامه SQLite و اقلام Keychain را جمع‌آوری می‌کند، آنها را در یک فایل zip فشرده می‌کند و بسته را از طریق Telegram Bot API استخراج می‌کند. پژوهشگران توکن بات تلگرام را در باینری آشکار یافته‌اند که آن را یک شکست بزرگ در امنیت عملیاتی توصیف کردند؛ موضوعی که می‌تواند به مدافعان امکان نظارت یا مختل‌کردن کانال را بدهد.

تیم Quetzal هش‌های SHA-256 برای همه اجزای اصلی را به همراه شاخص‌های شبکه منتشر کرد که به آدرس‌های IP 172.86.113.102 و 144.172.114.220 اشاره دارند. پژوهشگران امنیتی خاطرنشان کردند این کیت در استفاده توسط گروه‌هایی فراتر از لازاروس نیز مشاهده شده است و این نشان می‌دهد ابزارها در اکوسیستم بازیگران تهدید به اشتراک گذاشته یا فروخته شده‌اند.

لازاروس که توسط شرکت‌های اطلاعات تهدید با نام Famous Chollima نیز ردیابی می‌شود، طی چند سال گذشته به سرقت میلیاردها دلار رمزارز منتسب شده است. ابزارهای قبلی macOS این گروه شامل Applejeus و Rustbucket بود. Mach-O Man همان نمایه هدف را دنبال می‌کند، در حالی که مانع فنی برای مصالحه/نفوذ به macOS را کاهش می‌دهد.

به تیم‌های امنیتی در شرکت‌های کریپتو و فین‌تک توصیه می‌شود دایرکتوری‌های Launchagents را ممیزی کنند، اجرای فرایندهای Onedrive را از مسیرهای فایل غیرمعمول پایش کنند و ترافیک خروجی Telegram Bot API را در مواردی که از نظر عملیاتی لازم نیست مسدود کنند. کاربران هرگز نباید فرمان‌های Terminal را که از صفحات وب کپی شده‌اند یا لینک‌های جلسه ناخواسته را پیست کنند.

سازمان‌هایی که ناوگان‌های macOS را در محیط‌های کریپتویی با سهم بالای اپل اداره می‌کنند باید هر لینک جلسه فوری و ناخواسته را تا زمانی که از طریق یک کانال ارتباطی جداگانه تأیید نشده، یک نقطه ورود بالقوه تلقی کنند.