根據 Mauro Eldritch 的分析報告，本次攻擊採用 ClickFix 手法：攻擊者通過 Telegram（使用已被入侵的聯絡人帳號）發送偽裝成合法會議邀請的連結，將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站，並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。

攻擊目標資料包括：瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據，以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩；報告指出攻擊者暴露了 Telegram 機器人令牌（OPSEC 失誤），削弱了其行動安全性。

攻擊對象主要為金融科技及加密貨幣行業，以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。

Mach-O Man 工具包主要組件

根據 Mauro Eldritch 的技術分析，工具包由以下主要模組構成：

teamsSDK.bin：初始植入器，偽裝為 Teams、Zoom、Google 或系統應用，執行基本系統指紋識別

D1{隨機字串}.bin：系統分析器，收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器

minst2.bin：持久化模組，建立偽裝「Antivirus Service」目錄及 LaunchAgent，確保每次登入後持續執行

macrasv2：最終竊取器，收集瀏覽器憑證、Cookie 及 macOS Keychain 條目，打包後通過 Telegram 外洩並自我刪除

關鍵入侵指標（IOC）摘要

根據 Mauro Eldritch 報告發布的 IOC：

惡意 IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

惡意域名：update-teams[.]live / livemicrosft[.]com

關鍵文件（部分）： teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通訊端口： 8888 及 9999；主要使用 Go HTTP 用戶端 User-Agent 特徵字符串

完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。

常見問題

「Mach-O Man」工具包針對哪些行業和目標？

根據慢霧 23pds 的警示及 BCA LTD 的研究，「Mach-O Man」主要針對金融科技和加密貨幣行業，以及 macOS 廣泛使用的高價值企業環境，特別是開發者、高管和決策者群體。

攻擊者如何誘導 macOS 用戶執行惡意命令？

根據 Mauro Eldritch 的分析，攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結，將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站，提示用戶在 macOS 終端執行命令以「修復」連線問題，從而觸發惡意軟體安裝。

「Mach-O Man」如何實現數據外洩？

根據 Mauro Eldritch 的技術分析，最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包，通過 Telegram Bot API 外洩；同時攻擊者採用自我刪除腳本清除系統痕跡。

免責聲明：本頁面資訊可能來自第三方，不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考，不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證，對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為，價格波動劇烈，您可能損失全部投資本金。請充分了解相關風險，並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明。

ZachXBT Warns Against Bitcoin Depot ATM Over 44% Bitcoin Markup

比特币新聞安全事件平台風險

ZachXBT warns Bitcoin Depot ATMs impose steep premiums—$25k fiat at $108k/BTC vs ~$75k market (about 44%), leading to ~ $7.5k loss on 0.232 BTC; also notes a $3.26M security breach. This article summarizes ZachXBT's warnings about Bitcoin Depot's pricing practices and a recent security breach, highlighting risks from inflated rates and security lapses for users.

GateNews21分鐘前

隱私協議 Umbra 關閉前端以阻止攻擊者洗錢 Kelp 遭竊資金

地緣政治執法行動安全事件

Gate News 消息，4 月 22 日——隱私協議 Umbra 已關閉其前端網站，以防攻擊者利用該協議轉移遭竊資金；此舉是在近期多起攻擊之後做出的，包括 Kelp 協議遭入侵，造成損失超過 $280 million。約有 $800,000 的遭竊資金在 Umbra 上被轉移，

GateNews2小時前

Venus Protocol 攻擊者轉移 2301 枚 ETH，流入 Tornado Cash 清洗

以太坊新聞執法行動安全事件鏈上數據

根據鏈上分析師 Ai 阿姨於 4 月 22 日的監測，Venus Protocol 攻擊者在 11 小時前向地址 0xa21…23A7f 轉移 2,301 枚 ETH（約 532 萬美元），隨後將資金分批轉入加密混合器 Tornado Cash 進行清洗；截至監測時，攻擊者鏈上仍持有約 1,745 萬美元的 ETH。

Market Whisper5小時前

CometBFT 零日漏洞曝光，80 億美元 Cosmos 網路節點面臨死鎖風險

安全事件

安全研究員 Doyeon Park 於 4 月 21 日公開揭露 Cosmos 共識層 CometBFT 中存在一個 CVSS 7.1 級高危零日漏洞，可能導致節點在區塊同步（BlockSync）階段遭惡意對等節點攻擊而陷入死鎖，影響保障超 80 億美元資產的網路。

Market Whisper5小時前

北韓 Lazarus Group 發布新款 Mach-O Man macOS 惡意程式，鎖定加密領域

執法行動安全事件

摘要：Lazarus Group 發布了一套名為 Mach-O Man 的原生 macOS 惡意程式工具包，旨在針對加密平台與高價值主管；SlowMist 提醒使用者在遭受攻擊時要保持謹慎。摘要：本文報告指出，Lazarus Group 已推出 Mach-O Man，一套面向加密貨幣平台與高價值主管的原生 macOS 惡意程式工具包。SlowMist 提醒使用者提高警惕，以降低潛在攻擊風險。

GateNews6小時前

留言

0/400

暫無留言