Gate Newsメッセージ、4月22日 — 北朝鮮に関連するハッキング集団Lazarusが、新たに発見されたマルウェア「Mach-O Man」を使って暗号通貨ウォレットを狙う攻撃を開始したと、セキュリティ企業ANY.RUNが4月21日に公開したマルウェア分析レポートで明らかになりました。悪意のあるコードは、macOSシステムからキーチェーンデータ、ブラウザの資格情報、ログインセッションを盗み、不正にデジタル資産ウォレットや取引所アカウントへアクセスするよう設計されています。
従来のLazarusキャンペーンとは異なり、この攻撃は特にAppleのmacOSユーザーを狙います。マルウェアは、被害者のMacデバイスからログインセッションと認証資格情報を収集し、その後それらを使ってウォレットのアクセスと取引所アカウントの資格情報を侵害します。主な標的には、デジタル資産企業の従業員、開発者、エグゼクティブが含まれます。ANY.RUNは、単一アカウントを侵害するだけでも、ウォレットのアクセス権と社内のコーポレートシステムの双方が露出し、大規模な資産窃取につながる可能性があると警告しました。
マルウェアはClickFixを通じて配布されます。ClickFixは、偽のエラーメッセージやポップアップを使って、ユーザーに悪意のあるコマンドをコピーして実行させるソーシャルエンジニアリング手法です。攻撃は主に、侵害された個人アカウントを用いたTelegramで実施され、被害者はZoom、Microsoft Teams、またはGoogle Meetに似た偽のミーティングリンクへ誘導されます。その後、ユーザーには接続の問題を解決するという口実でコマンドを実行するよう促されます。このユーザー主導の実行方法は、従来のセキュリティシステムを簡単に回避できる可能性があります。
開示は、4月20日のKelp DAOハックに続いて行われます。このハックでは、116,500 rsETH (restaked Ethereum)が盗まれました。LayerZeroは、Lazarusに関連する組織であるTraderTraitorがこの攻撃の責任を負っていると特定しました。rsETHは複数のブロックチェーンに分散されており、クロスチェーン送金はLayerZeroのマルチチェーン対応の代替可能トークン (OFT)標準によって処理されます。
