Mach-O Man Kötü Amaçlı Yazılımı, Lazarus Grubu’nun Kripto Kampanyasında macOS Anahtar Zinciri Verilerini Çalıyor

Önemli Noktalar:

• Kuzey Kore'nin Lazarus Grubu, Nisan 2026'da kripto ve fintech sektörlerinde görev yapan macOS kullanıcılarını hedef alan Mach-O Man kötü amaçlı yazılımını devreye soktu.
• Bitso'nun Quetzal Ekibi, Go ile derlenen bu kitin dört aşamada kimlik bilgisi hırsızlığı, anahtar zinciri erişimi ve veri sızdırma işlemlerini mümkün kıldığını doğruladı.
• Güvenlik araştırmacıları, 22 Nisan 2026'da şirketlere Terminal tabanlı ClickFix tuzaklarını engelleme ve Onedrive kılığına girmiş dosyalar için LaunchAgents'ı denetleme çağrısında bulundu.

Araştırmacılar, ABD'deki kripto ve Web3 şirketlerini hedef alan Kuzey Kore'ye ait macOS kötü amaçlı yazılımını ortaya çıkardı

ANY.RUN sanal ortam platformuyla birlikte çalışan Bitso'nun Quetzal Ekibi'ndeki güvenlik araştırmacıları, "Kuzey Kore'nin Safari'si" adını verdikleri bir kampanyayı analiz ettikten sonra 21 Nisan 2026'da bu kiti kamuoyuna açıkladı. Ekip, grubun Web3 ve fintech rollerindeki yüksek değerli macOS kullanıcılarını tutarlı bir şekilde hedef aldığını belirterek, bu kiti KelpDAO ve Drift'e yönelik saldırılar da dahil olmak üzere Lazarus'un son dönemdeki büyük ölçekli kripto hırsızlıklarıyla ilişkilendirdi.

Mach-O Man, Go dilinde yazılmış ve Mach-O ikili dosyaları olarak derlenmiştir, bu da onu hem Intel hem de Apple Silicon makineler için yerel hale getirir. Kit, dört ayrı aşamada çalışır ve kendi izlerini silmeden önce tarayıcı kimlik bilgilerini, macOS Anahtar Zinciri girişlerini ve kripto hesap erişimini toplamak üzere tasarlanmıştır.

Enfeksiyon, bir yazılım istismarı değil, sosyal mühendislikle başlar. Saldırganlar, Web3 ve kripto çevrelerindeki meslektaşlara ait Telegram hesaplarını ele geçirir veya taklit eder. Hedef, update-teams.live veya livemicrosft.com gibi ikna edici sahte bir siteye bağlantı içeren Zoom, Microsoft Teams veya Google Meet için acil bir toplantı daveti alır.

Sahte site, simüle edilmiş bir bağlantı hatası görüntüler ve kullanıcıya sorunu çözmek için bir Terminal komutunu kopyalayıp yapıştırmasını söyler. Clickfix olarak bilinen ve burada macOS için uyarlanan bu teknik, kullanıcının curl aracılığıyla ilk stager dosyası olan teamsSDK.bin'i çalıştırmasına yol açar. Kullanıcı komutu manuel olarak çalıştırdığı için macOS Gatekeeper bunu engellemez.

Stager, sahte bir uygulama paketi indirir, meşru görünmesi için geçici kod imzalama uygular ve kullanıcıdan macOS şifresini ister. Pencere ilk iki denemede titrer ve üçüncü denemede kimlik bilgilerini kabul eder; bu, sahte güven oluşturmak için kasıtlı bir tasarım seçimidir.

Buradan itibaren, araştırmacının raporu ve diğer kaynaklara göre bir profiler ikili dosyası, makinenin ana bilgisayar adını, UUID'sini, CPU'sunu, işletim sistemi ayrıntılarını, çalışan işlemleri ve Brave, Chrome, Firefox, Safari, Opera ve Vivaldi'deki tarayıcı uzantılarını listeler. Araştırmacılar, profiler'ın sonsuz bir döngü oluşturan bir kodlama hatası içerdiğini ve bu durumun aktif bir enfeksiyonu ortaya çıkarabilecek belirgin CPU artışlarına neden olduğunu belirtti.

Ardından bir kalıcılık modülü, "Antivirus Service" adlı bir klasörün altındaki gizli bir yola Onedrive adlı yeniden adlandırılmış bir dosya bırakır ve oturum açıldığında otomatik olarak çalışması için com.onedrive.launcher.plist adlı bir Launchagent kaydeder.

Son aşama olan macrasv2 adlı bir hırsız ikili dosyası, tarayıcı uzantısı verilerini, SQLite kimlik bilgisi veritabanlarını ve Anahtar Zinciri öğelerini toplar, bunları bir zip dosyasına sıkıştırır ve paketi Telegram Bot API'si aracılığıyla dışarı aktarır. Araştırmacılar, ikili dosyada açığa çıkan Telegram bot jetonunu buldular ve bunu, savunmacıların kanalı izlemesine veya kesintiye uğratmasına olanak tanıyabilecek büyük bir operasyonel güvenlik hatası olarak tanımladılar.

Quetzal Ekibi, tüm ana bileşenlerin SHA-256 hash'lerini, 172.86.113.102 ve 144.172.114.220 IP adreslerine işaret eden ağ göstergeleriyle birlikte yayınladı. Güvenlik araştırmacıları, bu kitin Lazarus dışındaki gruplar tarafından da kullanıldığını gözlemlediklerini belirtti; bu da, araçların tehdit aktörleri ekosisteminde paylaşıldığını veya satıldığını düşündürüyor.

Tehdit istihbarat şirketleri tarafından Famous Chollima olarak da takip edilen Lazarus, son birkaç yılda milyarlarca dolarlık kripto para hırsızlığına karıştığı iddia ediliyor. Grubun önceki macOS araçları arasında Applejeus ve Rustbucket bulunuyordu. Mach-O Man, aynı hedef profilini takip ederken, macOS sistemlerini ele geçirmek için teknik engelleri azaltıyor.

Kripto ve fintech şirketlerindeki güvenlik ekiplerine, Launchagents dizinlerini denetlemeleri, olağandışı dosya yollarından çalışan Onedrive işlemlerini izlemeleri ve operasyonel olarak gerekli olmadığı durumlarda giden Telegram Bot API trafiğini engellemeleri tavsiye edilir. Kullanıcılar, web sayfalarından kopyalanan Terminal komutlarını veya istenmeyen toplantı bağlantılarını asla yapıştırmamalıdır.

Apple ağırlıklı kripto ortamlarında macOS filoları çalıştıran kuruluşlar, ayrı bir iletişim kanalı üzerinden doğrulanana kadar acil ve istenmeyen toplantı bağlantılarını potansiyel bir giriş noktası olarak değerlendirmelidir.