Nordkoreanische Lazarus-Gruppe setzt Mach-O Man-Malware ein, um Krypto-Wallet-Zugangsdaten von macOS-Nutzern zu stehlen

Gate-News-Meldung, 22. April — Die mit Nordkorea in Verbindung stehende Hackergruppe Lazarus hat Angriffe auf Krypto-Wallets gestartet, indem sie eine neu entdeckte Malware namens Mach-O Man einsetzt, so ein am 21. April von der Sicherheitsfirma ANY.RUN veröffentlichtes Malware-Analyse-Report. Der bösartige Code ist darauf ausgelegt, Keychain-Daten, Browser-Anmeldeinformationen und Login-Sitzungen von macOS-Systemen zu stehlen, um unbefugten Zugriff auf digitale Asset-Wallets und Exchange-Konten zu erlangen.

Im Gegensatz zu früheren Lazarus-Kampagnen richtet sich dieser Angriff gezielt an Apple-macOS-Nutzer. Die Malware sammelt Login-Sitzungen und Authentifizierungsdaten vom Mac-Gerät eines Opfers, die anschließend verwendet werden, um den Zugriff auf Wallets und die Zugangsdaten für Exchange-Konten zu kompromittieren. Die wichtigsten Ziele sind Mitarbeiter bei Unternehmen für digitale Assets, Entwickler und Führungskräfte. ANY.RUN warnte, dass das Kompromittieren eines einzigen Kontos sowohl Wallet-Zugriffsrechte als auch interne Unternehmenssysteme offenlegen könnte, was möglicherweise zu groß angelegtem Diebstahl von Vermögenswerten führt.

Die Malware wird über ClickFix verbreitet, eine Sozialtechnik, die mit gefälschten Fehlermeldungen und Pop-ups Nutzer dazu verleitet, bösartige Befehle zu kopieren und auszuführen. Angriffe werden hauptsächlich über Telegram durchgeführt, mithilfe kompromittierter persönlicher Konten, wobei Opfer zu gefälschten Meeting-Links geleitet werden, die Zoom, Microsoft Teams oder Google Meet ähneln. Anschließend werden Nutzer aufgefordert, Befehle unter dem Vorwand auszuführen, Verbindungsprobleme zu beheben. Diese Methode der durch den Nutzer initiierten Ausführung kann herkömmliche Sicherheitssysteme leicht umgehen.

Die Offenlegung erfolgt im Anschluss an den Kelp-DAO-Hack am 20. April, der zum Diebstahl von 116.500 rsETH (restaked Ethereum) führte. LayerZero identifizierte TraderTraitor, eine Lazarus-nahestehende Organisation, als verantwortlich für den Angriff. rsETH wird über mehrere Blockchains verteilt, wobei grenzüberschreitende Übertragungen vom omnichain fungible token (OFT)-Standard von LayerZero übernommen werden.