Malvér Mach-O Man kradne údaje z kľúčenky macOS v rámci kryptomenovej kampane skupiny Lazarus

Kľúčové body:

• Severokórejská skupina Lazarus nasadila v apríli 2026 malvér Mach-O Man zameraný na používateľov macOS v krypto a fintech odvetví.
• Tím Quetzal spoločnosti Bitso potvrdil, že súprava skompilovaná v jazyku Go umožňuje krádež prihlasovacích údajov, prístup k Keychainu a exfiltráciu dát v štyroch fázach.
• Bezpečnostní výskumníci 22. apríla 2026 naliehavo vyzvali firmy, aby blokovali návnady ClickFix v Termináli a kontrolovali LaunchAgents na súbory maskujúce sa ako Onedrive.

Výskumníci odhalili severokórejský malvér pre macOS zameraný na americké kryptomenové a Web3 firmy

Bezpečnostní výskumníci z tímu Quetzal spoločnosti Bitso, ktorí spolupracujú s platformou sandboxu ANY.RUN, zverejnili tento kit 21. apríla 2026 po analýze kampane, ktorú nazvali „North Korea's Safari“. Tím spojil tento kit s nedávnymi rozsiahlymi krádežami kryptomien skupinou Lazarus, vrátane útokov na KelpDAO a Drift, pričom poukázal na to, že táto skupina sa sústavne zameriava na významných používateľov macOS v oblasti Web3 a fintech.

Mach-O Man je napísaný v jazyku Go a skompilovaný ako binárne súbory Mach-O, vďaka čomu je natívny pre zariadenia s procesormi Intel aj Apple Silicon. Sada beží v štyroch odlišných fázach a je navrhnutá tak, aby získala prihlasovacie údaje prehliadača, položky kľúčenky macOS a prístup k krypto účtom, než zmaže stopy po sebe.

Infekcia začína sociálnym inžinierstvom, nie softvérovým exploitom. Útočníci kompromitujú alebo sa vydávajú za účty Telegramu patriace kolegom v kruhoch Web3 a kryptomien. Cieľ dostane urgentnú pozvánku na stretnutie cez Zoom, Microsoft Teams alebo Google Meet, ktorá odkazuje na presvedčivú falošnú stránku, ako napríklad update-teams.live alebo livemicrosft.com.

Falošná stránka zobrazuje simulovanú chybu pripojenia a inštruuje používateľa, aby skopíroval a vložil príkaz do Terminálu na jej vyriešenie. Táto technika, známa ako Clickfix a prispôsobená pre macOS, vedie používateľa k spusteniu počiatočného súboru stager, teamsSDK.bin, prostredníctvom curl. Keďže používateľ spustí príkaz manuálne, macOS Gatekeeper ho nezablokuje.

Stager stiahne falošný balík aplikácií, použije ad-hoc podpis kódu, aby vyzeral legitímne, a vyzve používateľa na zadanie hesla pre macOS. Okno sa pri prvých dvoch pokusoch trasie a pri treťom prijme prihlasovacie údaje, čo je zámerný dizajnový prvok na vybudovanie falošnej dôvery.

Od tohto momentu, podľa správy výskumníka a iných zdrojov, binárny súbor profileru vymenúva názov hostiteľa počítača, UUID, CPU, podrobnosti o operačnom systéme, bežiace procesy a rozšírenia prehliadačov v prehliadačoch Brave, Chrome, Firefox, Safari, Opera a Vivaldi. Výskumníci zaznamenali, že profiler obsahuje chybu v kóde, ktorá vytvára nekonečnú slučku, čo spôsobuje výrazné výkyvy v zaťažení CPU, ktoré môžu odhaliť aktívnu infekciu.

Modul perzistencie následne umiestni premenovaný súbor s názvom Onedrive do skrytej cesty v priečinku s názvom „Antivirus Service“ a zaregistruje Launchagent s názvom com.onedrive.launcher.plist, aby sa spúšťal automaticky pri prihlásení.

V záverečnej fáze binárny súbor typu stealer s názvom macrasv2 zhromažďuje údaje o rozšíreniach prehliadača, databázy prihlasovacích údajov SQLite a položky Keychain, komprimuje ich do súboru zip a odosiela balík cez rozhranie Telegram Bot API. Výskumníci zistili, že v binárnom súbore je odhalený token Telegram bota, čo opísali ako závažné zlyhanie prevádzkovej bezpečnosti, ktoré by mohlo umožniť obrancom monitorovať alebo narušiť kanál.

Tím Quetzal zverejnil SHA-256 hashové hodnoty všetkých hlavných komponentov spolu so sieťovými indikátormi smerujúcimi na IP adresy 172.86.113.102 a 144.172.114.220. Bezpečnostní výskumníci zaznamenali, že tento kit používajú aj iné skupiny ako Lazarus, čo naznačuje, že tieto nástroje boli zdieľané alebo predávané v rámci ekosystému útočníkov.

Skupina Lazarus, ktorú spoločnosti zaoberajúce sa analýzou hrozieb sledujú aj pod názvom Famous Chollima, je v priebehu posledných niekoľkých rokov spájaná s krádežami kryptomien v hodnote miliárd dolárov. Medzi predchádzajúce nástroje tejto skupiny pre macOS patrili Applejeus a Rustbucket. Mach-O Man sleduje rovnaký profil cieľov, pričom znižuje technickú bariéru pre kompromitovanie systému macOS.

Bezpečnostným tímom v krypto a fintech firmách sa odporúča kontrolovať adresáre Launchagents, monitorovať procesy Onedrive bežiace z neobvyklých súborových ciest a blokovať odchádzajúci prevádzku Telegram Bot API, ak to nie je prevádzkovo nevyhnutné. Používatelia by nikdy nemali vkladať príkazy Terminálu skopírované z webových stránok alebo nevyžiadané odkazy na stretnutia.

Organizácie prevádzkujúce flotily macOS v krypto prostrediach s prevahou Apple by mali akýkoľvek naliehavý, nevyžiadaný odkaz na stretnutie považovať za potenciálny vstupný bod, kým nebude overený prostredníctvom samostatného komunikačného kanála.