Phần mềm độc hại Mach-O Man đánh cắp dữ liệu Keychain trên macOS trong chiến dịch tiền điện tử của nhóm Lazarus

Điểm chính:

• Nhóm Lazarus của Triều Tiên đã triển khai phần mềm độc hại Mach-O Man nhắm vào người dùng macOS làm việc trong lĩnh vực tiền điện tử và fintech vào tháng 4 năm 2026.
• Nhóm Quetzal của Bitso xác nhận bộ công cụ được biên dịch bằng Go này cho phép đánh cắp thông tin đăng nhập, truy cập Keychain và trích xuất dữ liệu qua bốn giai đoạn.
• Các nhà nghiên cứu bảo mật đã khuyến cáo các doanh nghiệp vào ngày 22 tháng 4 năm 2026 chặn các mồi nhử ClickFix dựa trên Terminal và kiểm tra các tệp giả mạo Onedrive trong LaunchAgents.

Các nhà nghiên cứu vạch trần phần mềm độc hại macOS của Triều Tiên nhắm vào các công ty tiền điện tử và Web3 của Mỹ

Các nhà nghiên cứu bảo mật thuộc Nhóm Quetzal của Bitso, hợp tác cùng nền tảng sandbox ANY.RUN, đã công bố bộ công cụ này vào ngày 21 tháng 4 năm 2026, sau khi phân tích một chiến dịch mà họ đặt tên là "North Korea's Safari." Nhóm nghiên cứu đã liên kết bộ công cụ này với các vụ trộm tiền điện tử quy mô lớn gần đây của Lazarus, bao gồm các cuộc tấn công vào KelpDAO và Drift, đồng thời chỉ ra rằng nhóm này liên tục nhắm mục tiêu vào những người dùng macOS có giá trị cao trong lĩnh vực Web3 và fintech.

Mach-O Man được viết bằng ngôn ngữ Go và biên dịch thành các tệp nhị phân Mach-O, giúp nó tương thích với cả máy tính Intel và Apple Silicon. Bộ công cụ này hoạt động qua bốn giai đoạn riêng biệt và được thiết kế để thu thập thông tin đăng nhập trình duyệt, các mục trong Keychain của macOS và quyền truy cập tài khoản tiền điện tử trước khi xóa dấu vết của chính nó.

Quá trình lây nhiễm bắt đầu bằng kỹ thuật xã hội, không phải lỗ hổng phần mềm. Kẻ tấn công chiếm quyền kiểm soát hoặc giả mạo các tài khoản Telegram thuộc về đồng nghiệp trong cộng đồng Web3 và tiền điện tử. Mục tiêu nhận được lời mời họp khẩn cấp qua Zoom, Microsoft Teams hoặc Google Meet, kèm theo liên kết đến một trang web giả mạo thuyết phục, chẳng hạn như update-teams.live hoặc livemicrosft.com.

Trang web giả mạo hiển thị lỗi kết nối giả và hướng dẫn người dùng sao chép và dán lệnh Terminal để khắc phục. Kỹ thuật này, được gọi là Clickfix và được điều chỉnh cho macOS, dẫn người dùng thực thi tệp stager ban đầu, teamsSDK.bin, thông qua curl. Vì người dùng thực thi lệnh thủ công, macOS Gatekeeper không chặn nó.

Tệp stager tải xuống một gói ứng dụng giả mạo, áp dụng ký mã ad-hoc để làm cho nó trông hợp pháp, và yêu cầu người dùng nhập mật khẩu macOS. Cửa sổ sẽ rung lắc trong hai lần thử đầu tiên và chấp nhận thông tin đăng nhập ở lần thứ ba, một thiết kế có chủ đích nhằm tạo ra sự tin tưởng giả tạo.

Từ đó, báo cáo của nhà nghiên cứu và các nguồn khác cho biết một tệp nhị phân profiler liệt kê tên máy chủ, UUID, CPU, chi tiết hệ điều hành, các quá trình đang chạy và tiện ích mở rộng trình duyệt trên Brave, Chrome, Firefox, Safari, Opera và Vivaldi. Các nhà nghiên cứu lưu ý rằng profiler chứa một lỗi lập trình gây ra vòng lặp vô tận, dẫn đến các đỉnh CPU đáng chú ý có thể lộ ra sự lây nhiễm đang hoạt động.

Một mô-đun duy trì sau đó sẽ thả một tệp được đổi tên là Onedrive vào một đường dẫn ẩn trong thư mục có nhãn "Antivirus Service" và đăng ký một Launchagent có tên com.onedrive.launcher.plist để nó tự động chạy khi đăng nhập.

Giai đoạn cuối cùng, một tệp nhị phân trộm dữ liệu có nhãn macrasv2, thu thập dữ liệu tiện ích mở rộng trình duyệt, cơ sở dữ liệu thông tin đăng nhập SQLite và các mục Keychain, nén chúng thành tệp zip và chuyển dữ liệu ra ngoài thông qua API Telegram Bot. Các nhà nghiên cứu phát hiện mã thông báo Telegram bot bị lộ trong tệp nhị phân, điều mà họ mô tả là một sai sót bảo mật hoạt động nghiêm trọng có thể cho phép các nhà bảo vệ theo dõi hoặc làm gián đoạn kênh.

Nhóm Quetzal đã công bố các giá trị băm SHA-256 cho tất cả các thành phần chính, cùng với các chỉ số mạng trỏ đến các địa chỉ IP 172.86.113.102 và 144.172.114.220. Các nhà nghiên cứu bảo mật lưu ý rằng bộ công cụ này đã được quan sát thấy được sử dụng bởi các nhóm ngoài Lazarus, cho thấy công cụ này đã được chia sẻ hoặc bán trong hệ sinh thái các tác nhân đe dọa.

Lazarus, còn được các công ty tình báo mối đe dọa theo dõi với tên gọi Famous Chollima, đã bị quy trách nhiệm cho việc đánh cắp hàng tỷ đô la tiền điện tử trong vài năm qua. Các công cụ macOS trước đây của nhóm bao gồm Applejeus và Rustbucket. Mach-O Man nhắm vào cùng đối tượng mục tiêu nhưng giảm bớt rào cản kỹ thuật để xâm nhập hệ thống macOS.

Các đội ngũ bảo mật tại các công ty tiền điện tử và fintech được khuyến nghị kiểm tra các thư mục Launchagents, theo dõi các quy trình Onedrive chạy từ các đường dẫn tệp bất thường và chặn lưu lượng API Telegram Bot đi ra ngoài khi không cần thiết về mặt vận hành. Người dùng tuyệt đối không nên dán các lệnh Terminal sao chép từ trang web hoặc các liên kết cuộc họp không được yêu cầu.

Các tổ chức vận hành đội máy macOS trong môi trường tiền điện tử chủ yếu sử dụng Apple nên coi bất kỳ liên kết cuộc họp khẩn cấp, không được yêu cầu nào là điểm xâm nhập tiềm năng cho đến khi được xác minh qua kênh liên lạc riêng biệt.