Goidann Mach-O goideann sé sonraí Keychain macOS i bhfeachtas cripteo Ghrúpa Lazarus

Príomhphointí:

• D’fhorbair Grúpa Lazarus ón gCóiré Thuaidh malware Mach-O Man a dhírigh ar úsáideoirí macOS i róil chripte agus fintech i mí Aibreáin 2026.
• Dheimhnigh Quetzal Team de chuid Bitso go gcumasaíonn an trealamh, atá tiomsaithe i Go, goid dintiúr, rochtain ar Keychain, agus easpórtáil sonraí trí cheithre chéim.
• D’áitigh taighdeoirí slándála ar an 22 Aibreán 2026 ar ghnólachtaí lures ClickFix bunaithe ar Terminal a bhlocáil agus LaunchAgents a iniúchadh le haghaidh comhad a dhéanann leithscéal mar Onedrive.

Nocht Taighdeoirí Malware macOS ón gCóiré Thuaidh atá ag Díriú ar Ghnólachtaí Cripte agus Web3 sna S.A.

Rinne taighdeoirí slándála ag Quetzal Team de chuid Bitso, ag obair i gcomhar leis an ardán bosca gainimh ANY.RUN, an trealamh a nochtadh go poiblí ar an 21 Aibreán 2026, tar éis dóibh feachtas a ndearna siad “Safari na Cóiré Thuaidh” de a anailísiú. Cheangail an fhoireann an trealamh le goidteanna cripte ar scála mór le déanaí ag Lazarus, lena n-áirítear ionsaithe ar KelpDAO agus Drift, ag lua díriú comhsheasmhach an ghrúpa ar úsáideoirí macOS ardluacha i róil Web3 agus fintech.

Tá Mach-O Man scríofa i Go agus tiomsaithe mar dhénártha Mach-O, rud a fhágann go bhfuil sé dúchasach do mheaisíní Intel agus Apple Silicon araon. Ritheann an trealamh i gceithre chéim shainiúla agus tá sé deartha chun dintiúir brabhsálaí, iontrálacha macOS Keychain, agus rochtain ar chuntais chripte a bhaint sula scriosann sé rianta de féin.

Tosaíonn an t-ionfhabhtú le hinnealtóireacht shóisialta, ní le saothrú bogearraí. Comhréitíonn ionsaitheoirí nó ligeann siad orthu féin gur cuntais Telegram iad a bhaineann le comhghleacaithe i gciorcail Web3 agus cripte. Faigheann an sprioc cuireadh práinneach cruinnithe do Zoom, Microsoft Teams, nó Google Meet a nascann le suíomh bréige an-inchreidte, amhail update-teams.live nó livemicrosft.com.

Taispeánann an suíomh bréige earráid nasctha insamhlaithe agus treoraíonn sé an t-úsáideoir chun ordú Terminal a chóipeáil agus a ghreamú chun é a réiteach. Tugtar Clickfix ar an teicníc seo, agus í curtha in oiriúint anseo do macOS, agus cuireann sí an t-úsáideoir ar a chumas an chéad chomhad stager, teamsSDK.bin, a fhorghníomhú trí curl. Toisc go ritheann an t-úsáideoir an t-ordú de láimh, ní chuireann macOS Gatekeeper bac air.

Íoslódálann an stager beartán aipe bréige, cuireann sé síniú cód ad-hoc i bhfeidhm chun cuma dhlisteanach a chur air, agus iarrann sé ar an úsáideoir a bhfocal faire macOS. Croithfidh an fhuinneog ar an gcéad dá iarracht agus glacfaidh sí leis an dintiúr ar an tríú ceann, rogha dearaidh d’aon ghnó chun muinín bhréagach a thógáil.

Ina dhiaidh sin, de réir tuarascála an taighdeora, agus cuntais eile, déanann dénártha próifíleora óstainm, UUID, LAP, sonraí an chórais oibriúcháin, próisis atá ag rith, agus eisínteachtaí brabhsálaí a liostú ar fud Brave, Chrome, Firefox, Safari, Opera, agus Vivaldi. Thug taighdeoirí faoi deara go bhfuil fabht códaithe sa phróifíleoir a chruthaíonn lúb gan deireadh, rud a fhágann borrthaí CPU suntasacha a d’fhéadfadh ionfhabhtú gníomhach a nochtadh.

Ansin scaoileann modúl marthanachta comhad athainmnithe darb ainm Onedrive isteach i gcosán folaithe faoi fhillteán lipéadaithe “Antivirus Service” agus cláraíonn sé Launchagent darb ainm com.onedrive.launcher.plist ionas go rithfidh sé go huathoibríoch ag am logála isteach.

Sa chéim dheireanach, bailíonn dénártha stealer lipéadaithe macrasv2 sonraí eisínteachta brabhsálaí, bunachair shonraí dintiúr SQLite, agus míreanna Keychain, comhbhrúnn sé iad i gcomhad zip, agus easpórtálann sé an pacáiste tríd an Telegram Bot API. Fuair taighdeoirí an comhartha (token) bot Telegram nochtaithe sa dénártha, rud a ndearna siad cur síos air mar theip mhór ar shlándáil oibríochtúil a d’fhéadfadh ligean do chosantóirí monatóireacht a dhéanamh ar an gcainéal nó cur isteach air.

D’fhoilsigh Quetzal Team haisheanna SHA-256 do na príomhchodanna go léir, mar aon le táscairí líonra a dhíríonn ar sheoltaí IP 172.86.113.102 agus 144.172.114.220. Thug taighdeoirí slándála faoi deara go bhfacthas an trealamh in úsáid ag grúpaí seachas Lazarus, rud a thugann le fios go bhfuil na huirlisí roinnte nó díolta laistigh d’éiceachóras na n-aisteoirí bagartha.

Lazarus, ar a dtugtar Famous Chollima freisin ag gnólachtaí faisnéise bagartha, tá sé curtha i leith billiúin dollar i ngoid cript-airgeadra le cúpla bliain anuas. I measc uirlisí macOS roimhe seo an ghrúpa bhí Applejeus agus Rustbucket. Leanann Mach-O Man an próifíl spriocdhírithe chéanna agus laghdaíonn sé an bac teicniúil ar chomhréitigh macOS.

Moltar do fhoirne slándála i ngnólachtaí cripte agus fintech iniúchadh a dhéanamh ar chomhadlanna Launchagents, monatóireacht a dhéanamh ar phróisis Onedrive atá ag rith ó chosáin chomhaid neamhghnácha, agus trácht amach Telegram Bot API a bhlocáil nuair nach bhfuil sé riachtanach ó thaobh oibríochtaí de. Níor cheart d’úsáideoirí riamh orduithe Terminal a ghreamú a chóipeáladh ó leathanaigh ghréasáin ná naisc chruinnithe gan iarraidh.

Ba cheart d’eagraíochtaí a ritheann flít macOS i dtimpeallachtaí cripte atá trom ar Apple aon nasc cruinnithe práinneach, gan iarraidh, a chóireáil mar phointe iontrála féideartha go dtí go bhfíoraítear é trí chainéal cumarsáide ar leith.