Malware-ul Mach-O Man fură date din Keychain-ul macOS în cadrul campaniei de criptomonede a grupului Lazarus

Puncte cheie:

• Grupul Lazarus din Coreea de Nord a lansat în aprilie 2026 malware-ul Mach-O Man, care vizează utilizatorii de macOS din domeniul criptomonedelor și al tehnologiei financiare.
• Echipa Quetzal de la Bitso a confirmat că kitul compilat în Go permite furtul datelor de autentificare, accesul la Keychain și exfiltrarea datelor în patru etape.
• Cercetătorii în domeniul securității au îndemnat firmele, pe 22 aprilie 2026, să blocheze momealele ClickFix bazate pe Terminal și să verifice LaunchAgents pentru fișiere de mascare Onedrive.

Cercetătorii dezvăluie malware-ul nord-coreean pentru macOS care vizează firmele americane din domeniul criptomonedelor și Web3

Cercetătorii în securitate de la echipa Quetzal a Bitso, care lucrează alături de platforma sandbox ANY.RUN, au dezvăluit public kitul pe 21 aprilie 2026, după ce au analizat o campanie pe care au numit-o „Safari-ul Coreei de Nord”. Echipa a legat kitul de recentele furturi de criptomonede la scară largă ale grupului Lazarus, inclusiv atacurile asupra KelpDAO și Drift, menționând țintirea constantă de către grup a utilizatorilor de macOS cu valoare ridicată din domeniile Web3 și fintech.

Mach-O Man este scris în Go și compilat ca binare Mach-O, ceea ce îl face compatibil atât cu mașinile Intel, cât și cu cele Apple Silicon. Kitul rulează în patru etape distincte și este conceput pentru a colecta datele de autentificare ale browserului, intrările din Keychain-ul macOS și accesul la conturile de criptomonede înainte de a-și șterge urmele.

Infecția începe cu inginerie socială, nu cu un exploit software. Atacatorii compromit sau se dau drept conturi Telegram aparținând colegilor din cercurile Web3 și crypto. Ținta primește o invitație urgentă la o întâlnire pe Zoom, Microsoft Teams sau Google Meet care conține un link către un site fals convingător, precum update-teams.live sau livemicrosft.com.

Site-ul fals afișează o eroare de conexiune simulată și îi indică utilizatorului să copieze și să lipească o comandă Terminal pentru a o rezolva. Această tehnică, cunoscută sub numele de Clickfix și adaptată aici pentru macOS, determină utilizatorul să execute fișierul stager inițial, teamsSDK.bin, prin curl. Deoarece utilizatorul execută comanda manual, macOS Gatekeeper nu o blochează.

Stagerul descarcă un pachet de aplicații fals, aplică semnarea de cod ad-hoc pentru a-l face să pară legitim și solicită utilizatorului parola macOS. Fereastra tremură la primele două încercări și acceptă datele de autentificare la a treia, o alegere de design deliberată pentru a crea o încredere falsă.

De acolo, raportul cercetătorului și alte relatări spun că un fișier binar de profilare enumeră numele de gazdă al mașinii, UUID-ul, CPU-ul, detaliile sistemului de operare, procesele care rulează și extensiile de browser din Brave, Chrome, Firefox, Safari, Opera și Vivaldi. Cercetătorii au observat că profilatorul conține o eroare de codare care creează o buclă infinită, provocând vârfuri vizibile ale CPU-ului care pot expune o infecție activă.

Un modul de persistență plasează apoi un fișier redenumit, numit Onedrive, într-o cale ascunsă sub un folder etichetat „Antivirus Service” și înregistrează un Launchagent numit com.onedrive.launcher.plist, astfel încât acesta să ruleze automat la conectare.

Etapa finală, un fișier binar de furt denumit macrasv2, colectează date despre extensiile browserului, bazele de date cu credențiale SQLite și elementele din Keychain, le comprimă într-un fișier zip și exfiltrează pachetul prin API-ul Telegram Bot. Cercetătorii au descoperit tokenul botului Telegram expus în fișierul binar, pe care l-au descris ca fiind o defecțiune majoră de securitate operațională care ar putea permite apărătorilor să monitorizeze sau să perturbe canalul.

Echipa Quetzal a publicat hash-uri SHA-256 pentru toate componentele majore, împreună cu indicatori de rețea care indică adresele IP 172.86.113.102 și 144.172.114.220. Cercetătorii în securitate au remarcat că kitul a fost observat în uz de către grupuri din afara Lazarus, sugerând că instrumentele au fost partajate sau vândute în cadrul ecosistemului actorilor de amenințare.

Lazarus, urmărit și sub numele de Famous Chollima de către firmele de informații privind amenințările, a fost asociat cu furturi de criptomonede în valoare de miliarde de dolari în ultimii ani. Instrumentele anterioare ale grupului pentru macOS includeau Applejeus și Rustbucket. Mach-O Man vizează același profil de țintă, reducând în același timp bariera tehnică pentru compromiterea sistemelor macOS.

Echipelor de securitate din cadrul firmelor de criptomonede și fintech li se recomandă să auditeze directoarele Launchagents, să monitorizeze procesele Onedrive care rulează din căi de fișiere neobișnuite și să blocheze traficul API Telegram Bot de ieșire acolo unde nu este necesar din punct de vedere operațional. Utilizatorii nu ar trebui să lipească niciodată comenzi Terminal copiate de pe pagini web sau linkuri de întâlniri nesolicitate.

Organizațiile care utilizează flote de dispozitive macOS în medii de criptografie cu prezență puternică a Apple ar trebui să trateze orice link de întâlnire urgent și nesolicitat ca pe un potențial punct de intrare până la verificarea acestuia printr-un canal de comunicare separat.