Шкідливе ПЗ Mach-O Man викрадає дані ключового ланцюжка macOS у рамках криптовалютної кампанії групи Lazarus

Основні висновки:

• У квітні 2026 року північнокорейська група Lazarus Group розгорнула шкідливе програмне забезпечення Mach-O Man, націлене на користувачів macOS, які працюють у сфері криптовалют та фінтех.
• Команда Quetzal компанії Bitso підтвердила, що набір, скомпільований на Go, дозволяє викрадати облікові дані, отримувати доступ до Keychain та викрадати дані у чотири етапи.
• 22 квітня 2026 року дослідники з безпеки закликали компанії блокувати приманки ClickFix на базі Terminal та перевіряти LaunchAgents на наявність файлів, що маскуються під Onedrive.

Дослідники викрили північнокорейське шкідливе програмне забезпечення для macOS, націлене на американські крипто- та Web3-компанії

Дослідники з безпеки з команди Quetzal компанії Bitso, працюючи разом із платформою пісочниці ANY.RUN, оприлюднили цей набір 21 квітня 2026 року після аналізу кампанії, яку вони назвали «Північнокорейський Safari». Команда пов'язала цей набір із нещодавніми масштабними крадіжками криптовалюти, здійсненими Lazarus, зокрема з атаками на KelpDAO та Drift, посилаючись на те, що група постійно націлює свої атаки на високоцінних користувачів macOS, які працюють у сфері Web3 та фінтех.

Mach-O Man написаний на Go і скомпільований як бінарні файли Mach-O, що робить його сумісним як з машинами на базі Intel, так і з Apple Silicon. Набір працює у чотири окремі етапи і призначений для збору облікових даних браузера, записів Keychain macOS та доступу до крипто-рахунків, після чого видаляє сліди своєї діяльності.

Зараження починається з соціальної інженерії, а не з експлойта програмного забезпечення. Зловмисники зламують або видають себе за акаунти Telegram, що належать колегам у Web3 та криптосередовищах. Ціль отримує термінове запрошення на зустріч у Zoom, Microsoft Teams або Google Meet, яке містить посилання на переконливий фейковий сайт, такий як update-teams.live або livemicrosft.com.

Підроблений сайт відображає імітовану помилку з'єднання та пропонує користувачеві скопіювати й вставити команду терміналу для її усунення. Ця техніка, відома як Clickfix і адаптована тут для macOS, змушує користувача виконати початковий файл-стагер, teamsSDK.bin, через curl. Оскільки користувач запускає команду вручну, macOS Gatekeeper її не блокує.

Стейджер завантажує фальшивий пакет додатків, застосовує спеціальне підписання коду, щоб він виглядав легітимним, і запитує у користувача пароль macOS. Вікно тремтить під час перших двох спроб і приймає облікові дані на третій — це навмисний дизайнерський вибір, щоб створити помилкову довіру.

З цього моменту, згідно з доповіддю дослідника та іншими свідченнями, бінарний файл профілювача перелічує ім'я хоста машини, UUID, процесор, деталі операційної системи, запущені процеси та розширення браузерів у Brave, Chrome, Firefox, Safari, Opera та Vivaldi. Дослідники відзначили, що профілювач містить помилку в коді, яка створює нескінченний цикл, викликаючи помітні стрибки навантаження на процесор, що може викрити активну інфекцію.

Потім модуль персистентності розміщує перейменований файл під назвою Onedrive у прихованому шляху в папці з назвою «Antivirus Service» та реєструє Launchagent під назвою com.onedrive.launcher.plist, щоб він запускався автоматично під час входу в систему.

На останньому етапі бінарний файл-крадій під назвою macrasv2 збирає дані розширень браузера, бази даних облікових даних SQLite та елементи Keychain, стискає їх у файл zip і виводить пакет через API бота Telegram. Дослідники виявили токен бота Telegram, виставлений у бінарному файлі, що, на їхню думку, є серйозною оперативною помилкою безпеки, яка може дозволити захисникам відстежувати або перешкоджати роботі каналу.

Команда Quetzal опублікувала хеші SHA-256 для всіх основних компонентів, а також мережеві індикатори, що вказують на IP-адреси 172.86.113.102 та 144.172.114.220. Дослідники з безпеки зазначили, що цей набір використовували групи, крім Lazarus, що свідчить про те, що інструментарій був переданий або проданий в екосистемі зловмисників.

Lazarus, яку компанії з аналізу загроз також відстежують під назвою Famous Chollima, за останні кілька років пов'язують із крадіжками криптовалюти на мільярди доларів. Попередні інструменти групи для macOS включали Applejeus та Rustbucket. Mach-O Man націлений на той самий профіль цілей, одночасно знижуючи технічний бар'єр для компрометації macOS.

Командам з безпеки в крипто- та фінтех-компаніях рекомендується перевіряти каталоги Launchagents, відстежувати процеси Onedrive, що запускаються з незвичайних шляхів до файлів, та блокувати вихідний трафік Telegram Bot API, якщо це не є оперативно необхідним. Користувачам ніколи не слід вставляти команди Терміналу, скопійовані з веб-сторінок, або посилання на зустрічі, які вони не запитували.

Організації, що використовують парк комп'ютерів macOS у криптосередовищах, де переважає продукція Apple, повинні розглядати будь-яке термінове, небажане посилання на зустріч як потенційну точку входу, доки його не буде перевірено через окремий канал зв'язку.