Mach-O Man-malware steelt gegevens uit de macOS-sleutelhanger in een cryptovaluta-campagne van de Lazarus-groep

Belangrijkste punten:

• De Noord-Koreaanse Lazarus Group heeft in april 2026 de Mach-O Man-malware ingezet, gericht op macOS-gebruikers in crypto- en fintech-functies.
• Het Quetzal-team van Bitso heeft bevestigd dat de met Go gecompileerde kit in vier fasen het stelen van inloggegevens, toegang tot de sleutelhanger en het exfiltreren van gegevens mogelijk maakt.
• Beveiligingsonderzoekers drongen er op 22 april 2026 bij bedrijven op aan om op Terminal gebaseerde ClickFix-lokmiddelen te blokkeren en LaunchAgents te controleren op Onedrive-vermommingsbestanden.

Onderzoekers onthullen Noord-Koreaanse macOS-malware gericht op Amerikaanse crypto- en Web3-bedrijven

Beveiligingsonderzoekers van het Quetzal-team van Bitso, die samenwerken met het ANY.RUN-sandboxplatform, hebben de kit op 21 april 2026 openbaar gemaakt, na analyse van een campagne die zij "North Korea's Safari" hebben genoemd. Het team bracht de kit in verband met de recente grootschalige cryptodiefstallen van Lazarus, waaronder aanvallen op KelpDAO en Drift, en wees daarbij op het feit dat de groep zich consequent richt op hoogwaardige macOS-gebruikers in Web3- en fintech-functies.

Mach-O Man is geschreven in Go en gecompileerd als Mach-O-binaries, waardoor het native is op zowel Intel- als Apple Silicon-machines. De kit verloopt in vier verschillende fasen en is ontworpen om browsergegevens, macOS-Keychain-vermeldingen en toegang tot crypto-accounts te verzamelen, alvorens sporen van zichzelf te verwijderen.

De infectie begint met social engineering, niet met een software-exploit. Aanvallers compromitteren of doen zich voor als Telegram-accounts van collega's in Web3- en cryptokringen. Het doelwit ontvangt een dringende uitnodiging voor een vergadering via Zoom, Microsoft Teams of Google Meet die linkt naar een overtuigende nepwebsite, zoals update-teams.live of livemicrosft.com.

De valse site toont een gesimuleerde verbindingsfout en instrueert de gebruiker om een Terminal-commando te kopiëren en te plakken om dit op te lossen. Deze techniek, bekend als Clickfix en hier aangepast voor macOS, zorgt ervoor dat de gebruiker het eerste stager-bestand, teamsSDK.bin, uitvoert via curl. Omdat de gebruiker het commando handmatig uitvoert, blokkeert macOS Gatekeeper het niet.

Het stager-bestand downloadt een nep-app-bundel, past ad-hoc-codesignering toe om het legitiem te laten lijken, en vraagt de gebruiker om zijn of haar macOS-wachtwoord. Het venster trilt bij de eerste twee pogingen en accepteert de inloggegevens bij de derde, een bewuste ontwerpkeuze om vals vertrouwen op te bouwen.

Vervolgens, zo melden het rapport van de onderzoeker en andere bronnen, inventariseert een profiler-binair bestand de hostnaam, UUID, CPU, details van het besturingssysteem, actieve processen en browserextensies van de machine in Brave, Chrome, Firefox, Safari, Opera en Vivaldi. Onderzoekers merkten op dat de profiler een programmeerfout bevat die een oneindige lus veroorzaakt, wat leidt tot merkbare CPU-pieken die een actieve infectie kunnen blootleggen.

Een persistentiemodule plaatst vervolgens een hernoemd bestand met de naam Onedrive in een verborgen pad onder een map met de naam "Antivirus Service" en registreert een Launchagent met de naam com.onedrive.launcher.plist, zodat deze automatisch wordt uitgevoerd bij het inloggen.

In de laatste fase verzamelt een stealer-binair bestand met de naam macrasv2 gegevens van browserextensies, SQLite-databases met inloggegevens en Keychain-items, comprimeert deze tot een zip-bestand en exfiltreert het pakket via de Telegram Bot API. Onderzoekers ontdekten dat het Telegram-bot-token in het binaire bestand zichtbaar was, wat zij omschreven als een ernstige operationele beveiligingsfout waardoor verdedigers het kanaal zouden kunnen monitoren of verstoren.

Het Quetzal Team publiceerde SHA-256-hashes voor alle belangrijke componenten, samen met netwerkindicatoren die wijzen op de IP-adressen 172.86.113.102 en 144.172.114.220. Beveiligingsonderzoekers merkten op dat de kit ook door andere groepen dan Lazarus is waargenomen, wat suggereert dat de tooling is gedeeld of verkocht binnen het ecosysteem van cybercriminelen.

Lazarus, door threat intelligence-bedrijven ook wel Famous Chollima genoemd, wordt in verband gebracht met miljarden dollars aan cryptocurrency-diefstal in de afgelopen jaren. Eerdere macOS-tools van de groep waren onder meer Applejeus en Rustbucket. Mach-O Man richt zich op hetzelfde doelprofiel, maar verlaagt de technische drempel voor het compromitteren van macOS.

Beveiligingsteams bij crypto- en fintech-bedrijven wordt aangeraden om Launchagents-mappen te controleren, te letten op Onedrive-processen die vanuit ongebruikelijke bestandspaden draaien, en uitgaand Telegram Bot API-verkeer te blokkeren wanneer dit niet operationeel noodzakelijk is. Gebruikers mogen nooit Terminal-commando's plakken die zijn gekopieerd van webpagina's of ongevraagde vergaderlinks.

Organisaties die macOS-apparaten gebruiken in crypto-omgevingen waar veel Apple-apparatuur wordt gebruikt, moeten elke dringende, ongevraagde vergaderlink behandelen als een potentieel toegangspunt totdat deze via een apart communicatiekanaal is geverifieerd.