A Mach-O Man kártevő a Lazarus-csoport kriptovaluta-kampányában ellopja a macOS kulcstartó adatait

Főbb megállapítások:

• Észak-Korea Lazarus csoportja 2026 áprilisában telepítette a Mach-O Man kártevőt, amely a kriptovaluta- és fintech-szektorban dolgozó macOS-felhasználókat célozza meg.
• A Bitso Quetzal csapata megerősítette, hogy a Go nyelven összeállított készlet négy lépésben teszi lehetővé a hitelesítő adatok ellopását, a kulcstartóhoz való hozzáférést és az adatok kiszivárogtatását.
• A biztonsági kutatók 2026. április 22-én felszólították a vállalatokat, hogy blokkolják a Terminál-alapú ClickFix-csalikat, és ellenőrizzék a LaunchAgents-et az Onedrive-fájlokat álcázó fájlok miatt.

Kutatók lepleztek le egy észak-koreai macOS-malware-t, amely amerikai kriptográfiai és Web3-cégeket céloz meg

A Bitso Quetzal Team biztonsági kutatói az ANY.RUN sandbox platformmal együttműködve 2026. április 21-én nyilvánosságra hozták a készletet, miután elemezték a „North Korea’s Safari” névre keresztelt kampányt. A csapat a készletet a Lazarus legutóbbi nagyszabású kriptovaluta-lopásaihoz kapcsolta, beleértve a KelpDAO és a Drift elleni támadásokat is, hivatkozva arra, hogy a csoport következetesen a Web3 és a fintech területén dolgozó, nagy értékű macOS-felhasználókat célozza meg.

A Mach-O Man Go nyelven íródott és Mach-O bináris fájlként lett lefordítva, így natívan fut mind az Intel, mind az Apple Silicon gépeken. A készlet négy különálló szakaszban fut, és úgy lett kialakítva, hogy begyűjtse a böngésző hitelesítő adatait, a macOS Keychain bejegyzéseit és a kriptovaluta-fiókokhoz való hozzáférést, mielőtt eltüntetné a nyomait.

A fertőzés nem szoftveres kihasználással, hanem szociális mérnökséggel kezdődik. A támadók feltörik vagy hamisítják a Web3- és kriptográfiai körökben dolgozó kollégák Telegram-fiókjait. A célpont sürgős meghívást kap Zoom, Microsoft Teams vagy Google Meet találkozóra, amely egy meggyőző hamis webhelyre mutat, például az update-teams.live vagy a livemicrosft.com oldalra.

A hamis webhely szimulált kapcsolati hibát jelenít meg, és arra utasítja a felhasználót, hogy másolja be és illessze be a Terminál parancsot a hiba elhárításához. Ez a Clickfix néven ismert és itt a macOS-ra adaptált technika arra készteti a felhasználót, hogy a curl segítségével futtassa az első stager fájlt, a teamsSDK.bin-t. Mivel a felhasználó manuálisan futtatja a parancsot, a macOS Gatekeeper nem blokkolja azt.

A stager letölt egy hamis alkalmazáscsomagot, ad hoc kódaláírással látja el, hogy legitimnek tűnjön, majd kéri a felhasználótól a macOS jelszavát. Az ablak az első két kísérletnél remeg, a harmadiknál pedig elfogadja a hitelesítő adatokat – ez egy szándékos tervezési döntés, amelynek célja a hamis bizalom kialakítása.

Ezt követően a kutatók jelentése és más beszámolók szerint egy profiler bináris fájl felsorolja a gép hostnevét, UUID-jét, CPU-ját, az operációs rendszer adatait, a futó folyamatokat, valamint a böngészőbővítményeket a Brave, Chrome, Firefox, Safari, Opera és Vivaldi böngészőkben. A kutatók megjegyezték, hogy a profiler tartalmaz egy kódolási hibát, amely végtelen hurkot hoz létre, ami észrevehető CPU-csúcsokat okoz, amelyek felfedhetik az aktív fertőzést.

Ezután egy perzisztencia modul egy Onedrive nevű, átnevezett fájlt helyez el egy „Antivirus Service” nevű mappa alatt található rejtett útvonalon, és regisztrál egy com.onedrive.launcher.plist nevű Launchagentet, hogy az automatikusan elinduljon a bejelentkezéskor.

Az utolsó szakaszban egy macrasv2 nevű adatlopó bináris fájl összegyűjti a böngészőbővítmények adatait, az SQLite hitelesítő adatbázisokat és a Keychain elemeket, tömöríti őket egy zip fájlba, majd a Telegram Bot API-n keresztül továbbítja a csomagot. A kutatók felfedezték, hogy a bináris fájlban látható a Telegram bot tokenje, amit súlyos operatív biztonsági hibának minősítettek, mivel ez lehetővé teheti a védelem számára a csatorna figyelését vagy megzavarását.

A Quetzal Team közzétette az összes főbb komponens SHA-256 hash-értékét, valamint a 172.86.113.102 és 144.172.114.220 IP-címekre utaló hálózati indikátorokat. A biztonsági kutatók megjegyezték, hogy a készletet a Lazaruson kívüli csoportok is használják, ami arra utal, hogy az eszközt megosztották vagy eladták a fenyegető szereplők ökoszisztémáján belül.

A Lazarus, amelyet a fenyegetés-elhárítási cégek Famous Chollima néven is nyomon követnek, az elmúlt években több milliárd dollár értékű kriptovaluta-lopással hozható összefüggésbe. A csoport korábbi macOS-eszközei között szerepelt az Applejeus és a Rustbucket. A Mach-O Man ugyanazt a célprofilt követi, miközben csökkenti a macOS-támadások technikai korlátjait.

A kriptovaluta- és fintech-cégek biztonsági csapatainak javasoljuk, hogy ellenőrizzék a Launchagents könyvtárakat, figyeljék az szokatlan fájlútvonalakról futó Onedrive-folyamatokat, és blokkolják a kimenő Telegram Bot API forgalmat, amennyiben az működési szempontból nem szükséges. A felhasználók soha ne illesszenek be weboldalakról másolt Terminál-parancsokat vagy kéretlen értekezlet-linkeket.

Azok a szervezetek, amelyek Apple-orientált kriptográfiai környezetben macOS-flottákat üzemeltetnek, minden sürgős, kéretlen értekezlet-linket potenciális behatolási pontként kell kezelniük, amíg azt egy külön kommunikációs csatornán keresztül nem ellenőrizték.