Дослідники безпеки пов’язали нову кампанію зловмисного програмного забезпечення macOS із Lazarus Group, пов’язаною з Північною Кореєю хакерською операцією, яка стоїть за деякими з найбільших крадіжок у індустрії криптовалют.
За словами Мауро Елдріча, експерта з наступальної безпеки та засновника компанії з аналізу загроз BCA Ltd, який був позначений у вівторок, новий набір шкідливих програм Mach-O Man поширюється через схеми соціальної інженерії ClickFix серед традиційних компаній і криптовалютних компаній.
Жертв заманюють у фальшивий виклик Zoom або Google Meet, де їм пропонується виконати команди, які завантажують зловмисне програмне забезпечення у фоновому режимі, дозволяючи зловмисникам обійти традиційні елементи керування без виявлення, щоб отримати доступ до облікових даних і корпоративних систем, сказав дослідник безпеки у звіті у вівторок.
Дослідники заявили, що кампанія може призвести до захоплення облікових записів, несанкціонованого доступу до інфраструктури, фінансових втрат і розголошення критично важливих даних, підкреслюючи, що Lazarus продовжує розширювати свою цільову діяльність за межі криптокомпаній.
Lazarus Group є головним підозрюваним у деяких з найбільших зломів криптовалюти в історії, включаючи злам біржі Bybit на суму 1,4 мільярда доларів у 2025 році, що є найбільшим в галузі на сьогодні.
Набір «Mach-o Man» спрямований на реалізацію прихованого зловмисного програмного забезпечення
Останнім етапом кампанії є викрадач, призначений для отримання даних розширень браузера, збережених облікових даних браузера, файлів cookie, записів macOS Keychain та іншої конфіденційної інформації із заражених пристроїв.
Після збору дані архівуються в zip-файл і передаються зловмисникам через Telegram. Нарешті, сценарій самовидалення зловмисного програмного забезпечення видаляє весь набір за допомогою системної команди rm, яка обходить підтвердження користувача та дозволи під час видалення файлів.
Новий набір зловмисних програм був реконструйований експертом з безпеки за допомогою можливостей аналізу macOS у хмарному програмному середовищі Any.run.
Раніше в квітні північнокорейські хакери використовували схеми соціальної інженерії з підтримкою штучного інтелекту, щоб викрасти кошти на суму близько 100 000 доларів США з криптовалютного гаманця Zerion, отримавши доступ до сеансів деяких членів команди, облікових даних і закритих ключів компанії, повідомив Cointelegraph 15 квітня.
