Mao Wei Capital Chief Information Security Officer 23pds veröffentlichte am 22. April eine Warnmeldung und erklärte, dass die nordkoreanische Hackergruppe Lazarus Group ein neues nativ-macOS-Bösartiges-Software-Toolset „Mach-O Man“ veröffentlicht habe, das speziell auf Akteure der Krypto-Branche sowie Führungskräfte in Unternehmen mit hohem Wert zugeschnitten sei.
Angriffsmethoden und Ziele
Laut dem Analysebericht von Mauro Eldritch verwendet dieser Angriff die ClickFix-Methode: Angreifer leiten ihre Ziele über Telegram (mit einem bereits kompromittierten Kontaktkonton) auf einen Link, der als legitime Meeting-Einladung getarnt ist. Der Link führt zu einer gefälschten Website, die Zoom, Microsoft Teams oder Google Meet nachahmt, und fordert den Nutzer auf, Befehle im macOS-Terminal auszuführen, um „Verbindungsprobleme“ zu „reparieren“. Dadurch erhält der Angreifer Systemzugriffsrechte, ohne dass dabei die herkömmlichen Sicherheitskontrollen ausgelöst werden.
Zu den Zieldaten gehören: in Browsern gespeicherte Anmeldeinformationen und Cookies, Daten aus dem macOS Keychain sowie Erweiterungsdaten der Browser Brave, Vivaldi, Opera, Chrome, Firefox und Safari. Die gestohlenen Daten werden über die Telegram Bot API exfiltriert; der Bericht weist darauf hin, dass die Angreifer Telegram-Bot-Token offengelegt haben (OPSEC-Fehler), wodurch die Sicherheit ihres Handelns beeinträchtigt wurde.
Die Angriffsziele sind hauptsächlich Entwickler, Führungskräfte und Entscheidungsträger in FinTech- und Krypto-Branchen sowie in hochwertigen Unternehmensumgebungen, in denen macOS weit verbreitet ist.
Hauptkomponenten des Mach-O Man-Toolsets
Laut der technischen Analyse von Mauro Eldritch besteht das Toolset aus den folgenden wichtigsten Modulen:
teamsSDK.bin: Initialer Dropper, getarnt als Teams, Zoom, Google oder Systemanwendung; führt eine grundlegende System-Fingerabdruck-Erkennung aus
D1{zufällige Zeichenfolge}.bin: Systemanalysator, sammelt den Hostnamen, den CPU-Typ, Betriebssysteminformationen sowie eine Liste von Browser-Erweiterungen und sendet diese an den C2-Server
minst2.bin: Persistenzmodul, erstellt ein getarntes „Antivirus Service“-Verzeichnis und einen LaunchAgent, um sicherzustellen, dass die Ausführung nach jeder Anmeldung fortgesetzt wird
macrasv2: Finaler Stealer, sammelt Browser-Anmeldeinformationen, Cookies und macOS-Keychain-Items, verpackt die Daten, exfiltriert sie über Telegram und löscht sich anschließend selbst
Kurzfassung der wichtigsten Indikatoren für Kompromittierung (IOC)
Laut den vom Bericht von Mauro Eldritch veröffentlichten IOCs:
Bösartige IPs: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Bösartige Domains: update-teams[.]live / livemicrosft[.]com
Wichtige Dateien (teilweise): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
C2-Kommunikationsports: 8888 und 9999; hauptsächlich mit Go-HTTP-Client-User-Agent-Erkennungszeichenketten
Den vollständigen Hash-Wert und die ATT&CK-Matrix finden Sie im ursprünglichen Forschungsbericht von Mauro Eldritch.
Häufige Fragen
„Mach-O Man“-Toolset: Welche Branchen und Ziele werden angegriffen?
Laut der Warnmeldung von Slow Mist 23pds und der Forschung von BCA LTD richtet sich „Mach-O Man“ vor allem an die FinTech- und Krypto-Branche sowie an hochwerthaltige Unternehmensumgebungen, in denen macOS weit verbreitet ist, insbesondere an die Gruppen der Entwickler, Führungskräfte und Entscheidungsträger.
Wie verleiten Angreifer macOS-Nutzer dazu, bösartige Befehle auszuführen?
Laut der Analyse von Mauro Eldritch senden Angreifer über Telegram Links, die als legitime Meeting-Einladungen getarnt sind. Dadurch werden Nutzer auf gefälschte Websites geleitet, die Zoom, Teams oder Google Meet nachahmen, und die Nutzer werden aufgefordert, im macOS-Terminal Befehle auszuführen, um Verbindungsprobleme zu „reparieren“, wodurch die Installation der bösartigen Software ausgelöst wird.
Wie führt „Mach-O Man“ die Datenexfiltration durch?
Laut der technischen Analyse von Mauro Eldritch sammelt das finale Modul macrasv2 nach dem Sammeln von Browser-Anmeldeinformationen, Cookies und macOS-Keychain-Daten diese, verpackt sie und exfiltriert sie über die Telegram Bot API; gleichzeitig nutzt der Angreifer ein Self-Delete-Skript, um Systemspuren zu löschen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
ZachXBT warnt vor Bitcoin-Depot-Geldautomaten mit über 44 % Aufschlag auf den Bitcoin-Kurs
ZachXBT warnt, dass Bitcoin-Depot-Geldautomaten hohe Aufschläge verlangen—$25k fiat zu 108.000 $/BTC im Vergleich zu ~$75k Markt (etwa 44%), was zu ~ 7,5k Verlust bei 0,232 BTC führt; außerdem weist er auf eine Sicherheitsverletzung im Wert von 3,26 Mio. $ hin.
Dieser Artikel fasst ZachXBTs Warnungen zu den Preispraktiken von Bitcoin Depot und einer kürzlichen Sicherheitsverletzung zusammen und hebt Risiken durch überhöhte Sätze und Sicherheitsmängel für Nutzer hervor.
GateNews1Std her
Privacy Protocol Umbra Shuts Down Frontend to Block Attackers from Laundering Stolen Kelp Funds
Gate News message, April 22 — Privacy protocol Umbra has shut down its frontend website to prevent attackers from using the protocol to transfer stolen funds following recent attacks, including the Kelp protocol breach that resulted in losses exceeding $280 million. Approximately $800,000 in stolen
GateNews3Std her
Venus-Protocol-Angreifer transferierten 2301 ETH und überwiesen diese an Tornado Cash zur Geldwäsche
Laut den On-Chain-Analysten Ai Ayi bei der Überwachung am 22. April hat der Angreifer von Venus Protocol vor 11 Stunden an die Adresse 0xa21…23A7f 2.301 ETH (ca. 5,32 Mio. USD) transferiert und anschließend die Mittel in Tranchen in den Krypto-Mixer Tornado Cash eingezahlt, um sie zu waschen; zum Zeitpunkt der Überwachung hält der Angreifer on-chain weiterhin etwa 17,45 Mio. USD in ETH.
MarketWhisper6Std her
CometBFT Zero-Day-Schwachstelle aufgedeckt, 8 Milliarden US-Dollar Cosmos-Netzwerkknoten drohen einem Deadlock-Risiko
Sicherheitsforscher Doyeon Park hat am 21. April eine schwerwiegende Zero-Day-Schwachstelle mit CVSS 7,1 in der Konsensschicht von Cosmos, CometBFT, öffentlich offengelegt. Diese könnte dazu führen, dass Knoten in der Block-Sync-Phase (BlockSync) von böswilligen Peers angegriffen werden und dadurch in einen Deadlock geraten, was das Netzwerk beeinträchtigt, das über Vermögenswerte von mehr als 8 Milliarden US-Dollar absichert.
MarketWhisper6Std her
Nordkoreanische Lazarus-Gruppe veröffentlicht neue macOS-Malware „Mach-O Man“, die Krypto ins Visier nimmt
Zusammenfassung: Die Lazarus-Gruppe hat ein natives macOS-Malware-Toolset namens Mach-O Man veröffentlicht, das auf Krypto-Plattformen und hochrangige Führungskräfte abzielt; SlowMist warnt Nutzer, bei Angriffen vorsichtig zu sein.
Abstrakt: Der Artikel berichtet, dass die Lazarus-Gruppe Mach-O Man vorgestellt hat, ein auf macOS natives Malware-Toolset, das auf Krypto-Plattformen und hochrangige Führungskräfte abzielt. SlowMist warnt Nutzer, vorsichtig zu sein, um potenzielle Angriffe zu mindern.
GateNews7Std her
