Вредоносное ПО Mach-O Man похищает данные брелока macOS в рамках криптовалютной кампании группы Lazarus

Основные выводы:

• В апреле 2026 года северокорейская группа Lazarus запустила вредоносное ПО Mach-O Man, нацеленное на пользователей macOS, работающих в сфере криптовалют и финансовых технологий.
• Команда Quetzal из Bitso подтвердила, что этот набор, скомпилированный на Go, позволяет красть учетные данные, получать доступ к Keychain и выводить данные в четыре этапа.
• 22 апреля 2026 года исследователи в области безопасности призвали компании блокировать приманки ClickFix, запускаемые из Терминала, и проводить аудит LaunchAgents на наличие файлов, маскирующихся под Onedrive.

Исследователи раскрыли северокорейское вредоносное ПО для macOS, нацеленное на американские крипто- и Web3-компании

Исследователи по безопасности из команды Quetzal компании Bitso, работающие совместно с платформой песочницы ANY.RUN, публично раскрыли этот набор 21 апреля 2026 года после анализа кампании, которую они назвали «Северная Корея в Safari». Команда связала этот набор с недавними крупномасштабными кражами криптовалюты, совершенными Lazarus, включая атаки на KelpDAO и Drift, сославшись на то, что группа последовательно нацелена на ценных пользователей macOS, занимающих должности в Web3 и финтех-сфере.

Mach-O Man написан на Go и скомпилирован в виде бинарных файлов Mach-O, что делает его нативным как для машин на базе Intel, так и для Apple Silicon. Набор работает в четырех отдельных этапах и предназначен для сбора учетных данных браузера, записей Keychain macOS и доступа к криптовалютным счетам, после чего удаляет следы своего присутствия.

Заражение начинается с социальной инженерии, а не с уязвимости программного обеспечения. Злоумышленники взламывают или подделывают аккаунты Telegram, принадлежащие коллегам из кругов Web3 и криптовалют. Цель получает срочное приглашение на встречу в Zoom, Microsoft Teams или Google Meet, которое содержит ссылку на убедительный поддельный сайт, такой как update-teams.live или livemicrosft.com.

Поддельный сайт отображает имитированную ошибку подключения и предлагает пользователю скопировать и вставить команду терминала для ее устранения. Эта техника, известная как Clickfix и адаптированная здесь для macOS, заставляет пользователя запустить начальный файл-стагер teamsSDK.bin через curl. Поскольку пользователь запускает команду вручную, Gatekeeper macOS ее не блокирует.

Стейджер загружает поддельный пакет приложения, применяет специальную подпись кода, чтобы он выглядел легитимным, и запрашивает у пользователя пароль macOS. Окно дрожит при первых двух попытках и принимает учетные данные при третьей — это намеренный дизайнерский ход, призванный создать ложное доверие.

Далее, согласно отчету исследователя и другим источникам, бинарный файл профилировщика перечисляет имя хоста компьютера, UUID, данные о процессоре, операционной системе, запущенных процессах и расширениях браузеров Brave, Chrome, Firefox, Safari, Opera и Vivaldi. Исследователи отметили, что профилировщик содержит ошибку в коде, которая создает бесконечный цикл, вызывая заметные всплески загрузки процессора, что может выдать активное заражение.

Затем модуль персистентности помещает переименованный файл с именем Onedrive в скрытый путь в папке с меткой «Antivirus Service» и регистрирует Launchagent под именем com.onedrive.launcher.plist, чтобы он запускался автоматически при входе в систему.

На заключительном этапе бинарный файл-крадец с именем macrasv2 собирает данные расширений браузера, базы данных учетных данных SQLite и элементы Keychain, сжимает их в zip-файл и выводит пакет через API бота Telegram. Исследователи обнаружили токен бота Telegram, раскрытый в бинарном файле, что они описали как серьезный провал операционной безопасности, который может позволить защитникам отслеживать или нарушать работу канала.

Команда Quetzal опубликовала хеши SHA-256 для всех основных компонентов, а также сетевые индикаторы, указывающие на IP-адреса 172.86.113.102 и 144.172.114.220. Исследователи в области безопасности отметили, что этот набор инструментов был замечен в использовании группами помимо Lazarus, что позволяет предположить, что инструментарий был распространен или продан в экосистеме злоумышленников.

Группа Lazarus, также известная компаниям, занимающимся анализом угроз, как Famous Chollima, за последние несколько лет причастна к краже криптовалюты на миллиарды долларов. Ранее группа использовала такие инструменты для macOS, как Applejeus и Rustbucket. Mach-O Man нацелен на ту же целевую аудиторию, но при этом снижает технический барьер для взлома macOS.

Службам безопасности крипто- и финтех-компаний рекомендуется проводить аудит каталогов Launchagents, отслеживать процессы Onedrive, запущенные из необычных путей к файлам, и блокировать исходящий трафик Telegram Bot API, если он не требуется для работы. Пользователи никогда не должны вставлять команды терминала, скопированные с веб-страниц, или ссылки на незапрошенные встречи.

Организации, использующие парки компьютеров macOS в криптосредах с преобладанием Apple, должны рассматривать любую срочную незапрашиваемую ссылку на встречу как потенциальную точку входа до тех пор, пока она не будет проверена через отдельный канал связи.