กลุ่ม Lazarus ของเกาหลีเหนือได้ปล่อยชุดมัลแวร์แบบโมดูลาร์สำหรับ macOS ชื่อ Mach-O Man โดยใช้คำเชิญประชุมปลอมเพื่อขโมยข้อมูลรับรองและการเข้าถึงกระเป๋าเงินคริปโตจากผู้บริหารและนักพัฒนาในสายฟินเทค
มัลแวร์ Mach-O Man ขโมยข้อมูลคีย์เชนของ macOS ในแคมเปญคริปโตของกลุ่ม Lazarus
เขียนโดย
แชร์
ประเด็นสำคัญ:
- กลุ่ม Lazarus ของเกาหลีเหนือได้ปล่อยมัลแวร์ Mach-O Man โดยมุ่งเป้าไปยังผู้ใช้ macOS ที่ทำงานด้านคริปโตและฟินเทคในเดือนเมษายน 2026
- ทีม Quetzal ของ Bitso ยืนยันว่าชุดเครื่องมือที่คอมไพล์ด้วย Go ช่วยให้ขโมยข้อมูลรับรอง เข้าถึง Keychain และส่งข้อมูลออกได้ผ่าน 4 ขั้นตอน
- นักวิจัยด้านความปลอดภัยแนะนำเมื่อวันที่ 22 เมษายน 2026 ให้บริษัทบล็อกเหยื่อล่อ ClickFix ที่อาศัย Terminal และตรวจสอบ LaunchAgents สำหรับไฟล์ปลอมที่ปลอมเป็น Onedrive
นักวิจัยเปิดโปงมัลแวร์ macOS ของเกาหลีเหนือที่มุ่งเป้าบริษัทคริปโตและ Web3 ในสหรัฐฯ
นักวิจัยด้านความปลอดภัยจาก ทีม Quetzal ของ Bitso ซึ่งทำงานร่วมกับแพลตฟอร์มแซนด์บ็อกซ์ ANY.RUN ได้ เปิดเผย ชุดเครื่องมือนี้ต่อสาธารณะเมื่อวันที่ 21 เมษายน 2026 หลังจากวิเคราะห์แคมเปญที่พวกเขาตั้งชื่อว่า “North Korea’s Safari” ทีมได้เชื่อมโยงชุดเครื่องมือนี้กับการขโมยคริปโตครั้งใหญ่ล่าสุดของ Lazarus รวมถึงการโจมตี KelpDAO และ Drift โดยอ้างถึงรูปแบบการมุ่งเป้าผู้ใช้ macOS มูลค่าสูงในบทบาท Web3 และฟินเทคอย่างสม่ำเสมอของกลุ่มนี้
Mach-O Man เขียนด้วยภาษา Go และคอมไพล์เป็นไบนารีแบบ Mach-O ทำให้เป็นแบบเนทีฟทั้งบนเครื่อง Intel และ Apple Silicon ชุดเครื่องมือทำงานเป็น 4 ขั้นตอนที่แยกจากกัน และถูกออกแบบมาเพื่อเก็บเกี่ยวข้อมูลรับรองของเบราว์เซอร์ รายการใน macOS Keychain และการเข้าถึงบัญชีคริปโตก่อนลบร่องรอยของตัวเอง
การติดเชื้อเริ่มจากการหลอกลวงทางสังคม ไม่ใช่การเจาะช่องโหว่ซอฟต์แวร์ ผู้โจมตีเข้ายึดหรือปลอมตัวเป็นบัญชี Telegram ของเพื่อนร่วมงานในแวดวง Web3 และคริปโต เป้าหมายจะได้รับคำเชิญประชุมเร่งด่วนสำหรับ Zoom, Microsoft Teams หรือ Google Meet ซึ่งลิงก์ไปยังเว็บไซต์ปลอมที่น่าเชื่อถือ เช่น update-teams.live หรือ livemicrosft.com
เว็บไซต์ปลอมจะแสดงข้อผิดพลาดการเชื่อมต่อจำลอง และสั่งให้ผู้ใช้คัดลอกและวางคำสั่ง Terminal เพื่อแก้ไข เทคนิคนี้รู้จักกันในชื่อ Clickfix และถูกดัดแปลงมาใช้กับ macOS โดยจะนำผู้ใช้ให้รันไฟล์สเตจแรก teamsSDK.bin ผ่าน curl เนื่องจากผู้ใช้รันคำสั่งด้วยตนเอง macOS Gatekeeper จึงไม่บล็อก
สเตเจอร์จะดาวน์โหลดแอปบันเดิลปลอม ทำการเซ็นโค้ดแบบ ad-hoc เพื่อให้ดูเหมือนถูกต้องตามกฎหมาย และพรอมป์ให้ผู้ใช้กรอกรหัสผ่าน macOS หน้าต่างจะสั่นในสองครั้งแรก และยอมรับข้อมูลรับรองในครั้งที่สาม ซึ่งเป็นการออกแบบโดยตั้งใจเพื่อสร้างความไว้วางใจปลอม
หลังจากนั้น รายงานของนักวิจัย และ แหล่งข้อมูลอื่น ระบุว่าไบนารีโปรไฟเลอร์จะไล่รายการ hostname, UUID, CPU, รายละเอียดระบบปฏิบัติการ, โปรเซสที่กำลังรัน และส่วนขยายเบราว์เซอร์บน Brave, Chrome, Firefox, Safari, Opera และ Vivaldi นักวิจัยระบุว่าโปรไฟเลอร์มีบั๊กการเขียนโค้ดที่ทำให้เกิดลูปไม่รู้จบ ส่งผลให้ CPU พุ่งสูงอย่างเห็นได้ชัด ซึ่งอาจเปิดโปงว่ามีการติดเชื้ออยู่
โมดูลสำหรับคงอยู่ (persistence) จะปล่อยไฟล์ที่ถูกเปลี่ยนชื่อเป็น Onedrive ไปยังพาธที่ซ่อนอยู่ใต้โฟลเดอร์ชื่อ “Antivirus Service” และลงทะเบียน Launchagent ชื่อ com.onedrive.launcher.plist เพื่อให้ทำงานอัตโนมัติเมื่อเข้าสู่ระบบ
ขั้นตอนสุดท้าย ไบนารีขโมยข้อมูลที่ติดป้ายชื่อ macrasv2 จะรวบรวมข้อมูลส่วนขยายเบราว์เซอร์ ฐานข้อมูลข้อมูลรับรองแบบ SQLite และรายการ Keychain บีบอัดเป็นไฟล์ zip และส่งข้อมูลออกผ่าน Telegram Bot API นักวิจัยพบว่าโทเค็นบอท Telegram ถูกเปิดเผยอยู่ในไบนารี ซึ่งพวกเขาระบุว่าเป็นความล้มเหลวด้านความปลอดภัยเชิงปฏิบัติการครั้งใหญ่ที่อาจทำให้ฝ่ายป้องกันสามารถเฝ้าดูหรือรบกวนช่องทางดังกล่าวได้
ทีม Quetzal ได้เผยแพร่แฮช SHA-256 สำหรับคอมโพเนนต์หลักทั้งหมด พร้อมทั้งตัวชี้วัดเครือข่ายที่ชี้ไปยังไอพีแอดเดรส 172.86.113.102 และ 144.172.114.220 นักวิจัยด้านความปลอดภัยระบุว่าพบชุดเครื่องมือนี้ถูกใช้งานโดยกลุ่มอื่นนอกเหนือจาก Lazarus ด้วย ซึ่งบ่งชี้ว่าเครื่องมืออาจถูกแบ่งปันหรือขายภายในระบบนิเวศของผู้ก่อภัยคุกคาม
Lazarus ซึ่งบริษัทรวบรวมข่าวกรองภัยคุกคามติดตามในชื่อ Famous Chollima เช่นกัน ถูกระบุว่าเกี่ยวข้องกับการขโมยสกุลเงินดิจิทัลมูลค่าหลายพันล้านดอลลาร์ตลอดช่วงหลายปีที่ผ่านมา เครื่องมือ macOS ก่อนหน้าของกลุ่มนี้รวมถึง Applejeus และ Rustbucket Mach-O Man ยังคงใช้โปรไฟล์เป้าหมายแบบเดิม ขณะเดียวกันก็ลดอุปสรรคทางเทคนิคในการเจาะระบบ macOS
โวโล โปรโตคอลสูญเสีย 3.5 ล้านดอลลาร์จากการโจมตีบนบล็อกเชน Sui ระงับความพยายามเชื่อมสะพาน WBTC
โปรโตคอล Volo สูญเสียเงิน 3.5 ล้านดอลลาร์จากการโจมตีช่องโหว่บนบล็อกเชน Sui เมื่อวันที่ 21 เมษายน 2026 คีย์ผู้ดูแลระบบที่ถูกบุกรุกถูกนำไปใช้เพื่อดูดเงินออกจากห้องนิรภัยของ WBTC, XAUm และ USDC read more.
อ่านตอนนี้
โวโล โปรโตคอลสูญเสีย 3.5 ล้านดอลลาร์จากการโจมตีบนบล็อกเชน Sui ระงับความพยายามเชื่อมสะพาน WBTC
โปรโตคอล Volo สูญเสียเงิน 3.5 ล้านดอลลาร์จากการโจมตีช่องโหว่บนบล็อกเชน Sui เมื่อวันที่ 21 เมษายน 2026 คีย์ผู้ดูแลระบบที่ถูกบุกรุกถูกนำไปใช้เพื่อดูดเงินออกจากห้องนิรภัยของ WBTC, XAUm และ USDC read more.
อ่านตอนนี้โวโล โปรโตคอลสูญเสีย 3.5 ล้านดอลลาร์จากการโจมตีบนบล็อกเชน Sui ระงับความพยายามเชื่อมสะพาน WBTC
อ่านตอนนี้โปรโตคอล Volo สูญเสียเงิน 3.5 ล้านดอลลาร์จากการโจมตีช่องโหว่บนบล็อกเชน Sui เมื่อวันที่ 21 เมษายน 2026 คีย์ผู้ดูแลระบบที่ถูกบุกรุกถูกนำไปใช้เพื่อดูดเงินออกจากห้องนิรภัยของ WBTC, XAUm และ USDC read more.
ทีมความปลอดภัยของบริษัทคริปโตและฟินเทคได้รับคำแนะนำให้ตรวจสอบไดเรกทอรี Launchagents เฝ้าระวังโปรเซส Onedrive ที่รันจากพาธไฟล์ที่ผิดปกติ และบล็อกทราฟฟิกขาออกไปยัง Telegram Bot API ในกรณีที่ไม่ได้จำเป็นต่อการปฏิบัติงาน ผู้ใช้ไม่ควรวางคำสั่ง Terminal ที่คัดลอกจากหน้าเว็บหรือจากลิงก์ประชุมที่ไม่ได้ร้องขอ
องค์กรที่บริหารจัดการเครื่อง macOS จำนวนมากในสภาพแวดล้อมคริปโตที่พึ่งพา Apple สูง ควรถือว่าลิงก์ประชุมเร่งด่วนที่ไม่ได้ร้องขอเป็นจุดเริ่มต้นการโจมตีที่เป็นไปได้จนกว่าจะตรวจสอบยืนยันผ่านช่องทางสื่อสารอื่นแยกต่างหาก
