Mach-O Man -haittaohjelma varastaa macOS-avaimenperän tietoja Lazarus-ryhmän kryptovaluuttakampanjassa

Tärkeimmät kohdat:

• Pohjois-Korean Lazarus-ryhmä otti huhtikuussa 2026 käyttöön Mach-O Man -haittaohjelman, joka kohdistuu kryptovaluutta- ja fintech-alalla työskenteleviin macOS-käyttäjiin.
• Bitso:n Quetzal-tiimi vahvisti, että Go-kielellä käännetty paketti mahdollistaa tunnistetietojen varastamisen, avainnippuun pääsyn ja tietojen vuotamisen neljässä vaiheessa.
• Tietoturvatutkijat kehottivat yrityksiä 22. huhtikuuta 2026 estämään Terminal-pohjaiset ClickFix-houkutukset ja tarkastamaan LaunchAgents-sovellukset Onedrive-tiedostoja matkien.

Tutkijat paljastavat pohjoiskorealaisen macOS-haittaohjelman, joka kohdistuu yhdysvaltalaisiin kryptovaluutta- ja Web3-yrityksiin

Bitso:n Quetzal-tiimin tietoturvatutkijat, jotka työskentelivät yhdessä ANY.RUN-sandbox-alustan kanssa, julkistivat paketin 21. huhtikuuta 2026 analysoituaan kampanjan, jonka he nimesivät "North Korea's Safari". Tiimi yhdisti työkalupakin Lazaruksen viimeaikaisiin laajamittaisiin kryptovarkauksiin, mukaan lukien hyökkäykset KelpDAO:ta ja Driftia vastaan, ja viittasi ryhmän johdonmukaiseen kohdentamiseen arvokkaisiin macOS-käyttäjiin Web3- ja fintech-rooleissa.

Mach-O Man on kirjoitettu Go-kielellä ja käännetty Mach-O-binaareiksi, mikä tekee siitä natiivin sekä Intel- että Apple Silicon -koneille. Kit toimii neljässä eri vaiheessa ja on suunniteltu keräämään selaimen tunnistetietoja, macOS-avaimenperän merkintöjä ja pääsyä kryptotileille ennen kuin se poistaa jälkensä.

Tartunta alkaa sosiaalisen manipuloinnin avulla, ei ohjelmistohyökkäyksellä. Hyökkääjät kaappaavat tai esiintyvät Web3- ja kryptopiirien kollegoiden Telegram-tileillä. Kohde saa kiireellisen kokouskutsun Zoomille, Microsoft Teamsille tai Google Meetille, jossa on linkki vakuuttavaan väärennettyyn sivustoon, kuten update-teams.live tai livemicrosft.com.

Väärennetty sivusto näyttää simuloitua yhteysvirhettä ja kehottaa käyttäjää kopioimaan ja liittämään Terminal-komennon sen korjaamiseksi. Tämä Clickfix-nimellä tunnettu ja tässä macOS:lle mukautettu tekniikka saa käyttäjän suorittamaan alkuperäisen stager-tiedoston, teamsSDK.bin, curl:n kautta. Koska käyttäjä suorittaa komennon manuaalisesti, macOS Gatekeeper ei estä sitä.

Stager lataa väärennetyn sovelluspaketin, käyttää ad-hoc-koodin allekirjoitusta saadakseen sen näyttämään lailliselta ja pyytää käyttäjältä tämän macOS-salasanaa. Ikkuna tärisee kahdella ensimmäisellä yrityksellä ja hyväksyy tunnistetiedot kolmannella, mikä on tarkoituksellinen suunnitteluratkaisu väärän luottamuksen rakentamiseksi.

Tutkijan raportin ja muiden kertomusten mukaan profiilointibinääri luettelee koneen isäntänimen, UUID:n, prosessorin, käyttöjärjestelmän tiedot, käynnissä olevat prosessit sekä selainlaajennukset Brave-, Chrome-, Firefox-, Safari-, Opera- ja Vivaldi-selaimissa. Tutkijat huomasivat, että profiilointiohjelmassa on koodausvirhe, joka luo loputtoman silmukan ja aiheuttaa huomattavia prosessorin kuormituspiikkejä, jotka voivat paljastaa aktiivisen tartunnan.

Pysyvyysmoduuli pudottaa sitten uudelleennimetyt tiedoston nimeltä Onedrive piilotettuun polkuun kansioon nimeltä "Antivirus Service" ja rekisteröi Launchagentin nimeltä com.onedrive.launcher.plist, jotta se käynnistyy automaattisesti kirjautumisen yhteydessä.

Viimeisessä vaiheessa macrasv2-niminen tietojen varastava binääritiedosto kerää selaimen laajennustietoja, SQLite-tunnistetietokantoja ja avainnippukohteita, pakkaa ne zip-tiedostoksi ja siirtää paketin ulos Telegram Bot API:n kautta. Tutkijat löysivät binääritiedostosta paljastuneen Telegram-botin tunnuksen, jota he kuvailivat merkittäväksi operatiiviseksi tietoturva-aukoksi, joka voisi antaa puolustajille mahdollisuuden seurata tai häiritä kanavaa.

Quetzal-tiimi julkaisi SHA-256-hashit kaikille tärkeimmille komponenteille sekä verkkoindikaattorit, jotka viittaavat IP-osoitteisiin 172.86.113.102 ja 144.172.114.220. Turvallisuustutkijat huomasivat, että työkalupakettia on havaittu käytettävän muissakin ryhmissä kuin Lazaruksessa, mikä viittaa siihen, että työkaluja on jaettu tai myyty uhkatekijöiden ekosysteemissä.

Lazarus, jota uhkatiedusteluyritykset seuraavat myös nimellä Famous Chollima, on syyllistynyt miljardien dollarien arvoisiin kryptovaluuttavarkauksiin viime vuosina. Ryhmän aiempia macOS-työkaluja olivat Applejeus ja Rustbucket. Mach-O Man noudattaa samaa kohdeprofiilia, mutta madaltaa teknistä kynnystä macOS-järjestelmien vaarantamiseen.

Kryptovaluutta- ja fintech-yritysten tietoturvatiimejä kehotetaan tarkastamaan Launchagents-hakemistot, seuraamaan epätavallisista tiedostopolkuista käynnistyviä Onedrive-prosesseja ja estämään ulospäin suuntautuva Telegram Bot API -liikenne, jos se ei ole toiminnallisesti välttämätöntä. Käyttäjien ei tulisi koskaan liittää terminaalikomentoja, jotka on kopioitu verkkosivuilta, tai pyytämättömiä kokouslinkkejä.

Organisaatioiden, jotka käyttävät macOS-laitteita Apple-painotteisissa kryptovaluutta-ympäristöissä, tulisi käsitellä kaikkia kiireellisiä, pyytämättömiä kokouslinkkejä potentiaalisina hyökkäyskohteina, kunnes ne on vahvistettu erillisen viestintäkanavan kautta.