Головний директор з інформаційної безпеки 23pds компанії Mоg Mist опублікував попередження 22 квітня, заявивши, що хакерська група Північної Кореї Lazarus Group випустила новий нативний інструментарій шкідливого ПЗ для macOS «Mach-O Man», спеціально націлений на індустрію криптовалют і керівників компаній з високою цінністю.
Методи атаки та цілі
Згідно з аналітичним звітом Mauro Eldritch, цього разу атака використовує підхід ClickFix: зловмисники надсилають через Telegram (з використанням скомпрометованого облікового запису контакту) посилання, замасковане під законне запрошення на зустріч, щоб спрямувати ціль на фальшивий вебсайт, що імітує Zoom, Microsoft Teams або Google Meet, і пропонують користувачу виконати на кінцевій системі macOS команду для «виправлення» проблем із з’єднанням. Така дія дає зловмисникам доступ до системи без спрацювання традиційних механізмів безпеки.
Дані, які становлять інтерес для атаки, включають: облікові дані й Cookie, збережені браузером, дані macOS Keychain, а також дані розширень браузерів Brave, Vivaldi, Opera, Chrome, Firefox і Safari. Викрадені дані витікають через Telegram Bot API; у звіті зазначено, що зловмисники розкрили токен Telegram-бота (помилка OPSEC), що послаблює їхню безпеку дій.
Основними мішенями є розробники, керівники та особи, які приймають рішення, у середовищах високої цінності, зокрема в фінтех- і криптовалютній індустріях, а також там, де macOS широко використовується.
Основні компоненти інструментарію Mach-O Man
Згідно з технічним аналізом Mauro Eldritch, набір інструментів складається з таких ключових модулів:
teamsSDK.bin:початковий інсталятор, маскується під Teams, Zoom, Google або системний застосунок, виконує базове визначення системних відбитків
D1{довільний рядок}.bin:системний аналізатор, збирає назву хоста, тип CPU, інформацію про операційну систему та список розширень браузера й надсилає на C2-сервер
minst2.bin:модуль персистентності, створює каталог маскування «Antivirus Service» і LaunchAgent, щоб забезпечити стабільне виконання після кожного входу в систему
macrasv2:кінцевий викрадач, збирає облікові дані браузера, Cookie та записи macOS Keychain, пакує й витікає через Telegram, а також самостійно видаляє себе
Підсумок ключових індикаторів компрометації (IOC)
Згідно з опублікованими Mauro Eldritch IOC:
Шкідливі IP-адреси:172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Шкідливі домени:update-teams[.]live / livemicrosft[.]com
Ключові файли (частково):teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
Порти C2-зв’язку:8888 і 9999; основне використання — характерний рядок User-Agent клієнта Go HTTP
Повні хеш-значення та матриця ATT&CK див. в оригінальному дослідженні Mauro Eldritch.
Поширені запитання
«Mach-O Man» інструментарій націлений на які індустрії та цілі?
Згідно з попередженням 23pds компанії Mоg Mist і дослідженням BCA LTD, «Mach-O Man» насамперед націлений на фінтех і криптовалютну індустрію, а також на середовища високої цінності, де macOS широко використовується, зокрема на групи розробників, керівників і осіб, які приймають рішення.
Як зловмисники спонукають користувачів macOS виконувати шкідливі команди?
Згідно з аналізом Mauro Eldritch, зловмисники надсилають через Telegram посилання, замасковане під законне запрошення на зустріч, що спрямовує користувача на фальшивий вебсайт, який імітує Zoom, Teams або Google Meet. Далі вони пропонують користувачеві виконати на кінцевій системі macOS команду «для виправлення» проблем із з’єднанням, тим самим запускаючи встановлення шкідливого ПЗ.
Як «Mach-O Man» реалізує витік даних?
Згідно з технічним аналізом Mauro Eldritch, фінальний модуль macrasv2 збирає облікові дані браузера, Cookie та дані macOS Keychain, після чого пакує їх і витікає через Telegram Bot API; водночас зловмисники використовують скрипт самовидалення, щоб очистити системні сліди.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Протокол приватності Umbra вимикає фронтенд, щоб заблокувати атакувальників від відмивання викрадених коштів Kelp
Повідомлення Gate News, 22 квітня — Протокол приватності Umbra вимкнув свій фронтенд-сайт, щоб не допустити атакувальників до використання протоколу для переказу вкрадених коштів після недавніх атак, зокрема інциденту з протоколом Kelp, який призвів до втрат понад $280 мільйонів. Близько $800,000 у викрадених коштах були переказані через Umbra,
GateNews1год тому
Джастін Сан подає позов до World Liberty Financial через заморожені токени WLFI та права на управління
Повідомлення Gate News, 22 квітня — Джастін Сан подав позов у федеральний суд Каліфорнії проти World Liberty Financial (WLF), DeFi-проєкту за підтримки Еріка Трампа та Дональда Трампа-молодшого, стверджуючи, що команда заморозила всі його холдинги WLFI, позбавила його права голосу та погрожувала назавжди спалити
GateNews4год тому
Зловмисник протоколу Venus переказав 2301 ETH, що надійшли до Tornado Cash для відмивання
Згідно з ончайн-спостереженнями аналітика Ai 阿姨 станом на 22 квітня, атакувальник Venus Protocol понад 11 годин тому перевів на адресу 0xa21…23A7f 2,301 ETH (приблизно 5.32 млн доларів США), після чого частинами переказав кошти в криптовалютний міксер Tornado Cash для очищення; станом на час спостереження атакувальник на блокчейні все ще має приблизно 17.45 млн доларів США в ETH.
MarketWhisper4год тому
Викрито нульовий день у CometBFT: 8,0 млрд доларів вузлів мережі Cosmos під загрозою взаємного «зависання»
Дослідник безпеки Дойон Парк 21 квітня оприлюднив інформацію про критичну нуль-дневну вразливість рівня CVSS 7.1 у консенсусному шарі Cosmos CometBFT, яка може призвести до того, що вузли на етапі синхронізації блоків (BlockSync) будуть атаковані зловмисними одноранговими (peer) вузлами та впадуть у стан взаємного блокування (deadlock), що вплине на мережу, яка забезпечує активи понад 8 мільярдів доларів США.
MarketWhisper4год тому
Півнокорейська група Lazarus випускає новий шкідливий софт Mach-O Man для macOS, спрямований на крипто
Зведення: Група Lazarus випустила нативний шкідливий інструментарій для macOS під назвою Mach-O Man, спрямований на криптоплатформи та високопоставлених керівників; SlowMist закликає користувачів проявляти обережність проти атак.
Анотація: У статті повідомляється, що група Lazarus представила Mach-O Man — нативний шкідливий інструментарій для macOS, спрямований на криптовалютні платформи та високопоставлених керівників. SlowMist попереджає користувачів виявляти обережність, щоб зменшити ризик потенційних атак.
GateNews5год тому
У Перській затоці Хормуз з’явилося шахрайство зі збором за проїзд у біткоїнах: після того як судно заплатило, по ньому все одно відкрили вогонь
Згідно з повідомленням CoinDesk від 22 квітня, грецька компанія з морських ризиків Marisks опублікувала попередження про те, що шахраї видають себе за іранські органи влади та надсилають повідомлення кільком судноплавним компаніям із вимогою біткоїнів або USDT як «плату за проїзд» для проходження через «протоку Гормуз». Marisks підтвердила, що відповідні повідомлення не надходять із офіційних іранських каналів, і, як повідомляє Reuters, заявила, що вважає: щонайменше одне судно стало жертвою обману — і, намагаючись пройти протягом вихідних, все одно зазнало обстрілів.
MarketWhisper5год тому
