Головний директор з інформаційної безпеки 23pds компанії Mоg Mist опублікував попередження 22 квітня, заявивши, що хакерська група Північної Кореї Lazarus Group випустила новий нативний інструментарій шкідливого ПЗ для macOS «Mach-O Man», спеціально націлений на індустрію криптовалют і керівників компаній з високою цінністю.
Методи атаки та цілі
Згідно з аналітичним звітом Mauro Eldritch, цього разу атака використовує підхід ClickFix: зловмисники надсилають через Telegram (з використанням скомпрометованого облікового запису контакту) посилання, замасковане під законне запрошення на зустріч, щоб спрямувати ціль на фальшивий вебсайт, що імітує Zoom, Microsoft Teams або Google Meet, і пропонують користувачу виконати на кінцевій системі macOS команду для «виправлення» проблем із з’єднанням. Така дія дає зловмисникам доступ до системи без спрацювання традиційних механізмів безпеки.
Дані, які становлять інтерес для атаки, включають: облікові дані й Cookie, збережені браузером, дані macOS Keychain, а також дані розширень браузерів Brave, Vivaldi, Opera, Chrome, Firefox і Safari. Викрадені дані витікають через Telegram Bot API; у звіті зазначено, що зловмисники розкрили токен Telegram-бота (помилка OPSEC), що послаблює їхню безпеку дій.
Основними мішенями є розробники, керівники та особи, які приймають рішення, у середовищах високої цінності, зокрема в фінтех- і криптовалютній індустріях, а також там, де macOS широко використовується.
Основні компоненти інструментарію Mach-O Man
Згідно з технічним аналізом Mauro Eldritch, набір інструментів складається з таких ключових модулів:
teamsSDK.bin:початковий інсталятор, маскується під Teams, Zoom, Google або системний застосунок, виконує базове визначення системних відбитків
D1{довільний рядок}.bin:системний аналізатор, збирає назву хоста, тип CPU, інформацію про операційну систему та список розширень браузера й надсилає на C2-сервер
minst2.bin:модуль персистентності, створює каталог маскування «Antivirus Service» і LaunchAgent, щоб забезпечити стабільне виконання після кожного входу в систему
macrasv2:кінцевий викрадач, збирає облікові дані браузера, Cookie та записи macOS Keychain, пакує й витікає через Telegram, а також самостійно видаляє себе
Підсумок ключових індикаторів компрометації (IOC)
Згідно з опублікованими Mauro Eldritch IOC:
Шкідливі IP-адреси:172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Шкідливі домени:update-teams[.]live / livemicrosft[.]com
Ключові файли (частково):teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
Порти C2-зв’язку:8888 і 9999; основне використання — характерний рядок User-Agent клієнта Go HTTP
Повні хеш-значення та матриця ATT&CK див. в оригінальному дослідженні Mauro Eldritch.
Поширені запитання
«Mach-O Man» інструментарій націлений на які індустрії та цілі?
Згідно з попередженням 23pds компанії Mоg Mist і дослідженням BCA LTD, «Mach-O Man» насамперед націлений на фінтех і криптовалютну індустрію, а також на середовища високої цінності, де macOS широко використовується, зокрема на групи розробників, керівників і осіб, які приймають рішення.
Як зловмисники спонукають користувачів macOS виконувати шкідливі команди?
Згідно з аналізом Mauro Eldritch, зловмисники надсилають через Telegram посилання, замасковане під законне запрошення на зустріч, що спрямовує користувача на фальшивий вебсайт, який імітує Zoom, Teams або Google Meet. Далі вони пропонують користувачеві виконати на кінцевій системі macOS команду «для виправлення» проблем із з’єднанням, тим самим запускаючи встановлення шкідливого ПЗ.
Як «Mach-O Man» реалізує витік даних?
Згідно з технічним аналізом Mauro Eldritch, фінальний модуль macrasv2 збирає облікові дані браузера, Cookie та дані macOS Keychain, після чого пакує їх і витікає через Telegram Bot API; водночас зловмисники використовують скрипт самовидалення, щоб очистити системні сліди.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
ZachXBT попереджає проти банкомату Bitcoin Depot із націнкою понад 44% до ціни біткоїна
ZachXBT попереджає, що банкомати Bitcoin Depot встановлюють завищені премії — $25k фіат за $108k/BTC проти ~$75k ринку (приблизно 44%), що призводить до ~ втрати $7,5k на 0,232 BTC; також зазначає про інцидент із порушенням безпеки на $3,26M.
Ця стаття узагальнює попередження ZachXBT щодо цінової практики Bitcoin Depot і нещодавнього порушення безпеки, підкреслюючи ризики для користувачів від завищених тарифів і збоїв у безпеці.
GateNews1год тому
Протокол приватності Umbra вимикає фронтенд, щоб заблокувати атакувальників від відмивання викрадених коштів Kelp
Повідомлення Gate News, 22 квітня — Протокол приватності Umbra вимкнув свій фронтенд-сайт, щоб не допустити атакувальників до використання протоколу для переказу вкрадених коштів після недавніх атак, зокрема інциденту з протоколом Kelp, який призвів до втрат понад $280 мільйонів. Близько $800,000 у викрадених коштах були переказані через Umbra,
GateNews3год тому
Зловмисник протоколу Venus переказав 2301 ETH, що надійшли до Tornado Cash для відмивання
Згідно з ончайн-спостереженнями аналітика Ai 阿姨 станом на 22 квітня, атакувальник Venus Protocol понад 11 годин тому перевів на адресу 0xa21…23A7f 2,301 ETH (приблизно 5.32 млн доларів США), після чого частинами переказав кошти в криптовалютний міксер Tornado Cash для очищення; станом на час спостереження атакувальник на блокчейні все ще має приблизно 17.45 млн доларів США в ETH.
MarketWhisper6год тому
Викрито нульовий день у CometBFT: 8,0 млрд доларів вузлів мережі Cosmos під загрозою взаємного «зависання»
Дослідник безпеки Дойон Парк 21 квітня оприлюднив інформацію про критичну нуль-дневну вразливість рівня CVSS 7.1 у консенсусному шарі Cosmos CometBFT, яка може призвести до того, що вузли на етапі синхронізації блоків (BlockSync) будуть атаковані зловмисними одноранговими (peer) вузлами та впадуть у стан взаємного блокування (deadlock), що вплине на мережу, яка забезпечує активи понад 8 мільярдів доларів США.
MarketWhisper6год тому
Півнокорейська група Lazarus випускає новий шкідливий софт Mach-O Man для macOS, спрямований на крипто
Зведення: Група Lazarus випустила нативний шкідливий інструментарій для macOS під назвою Mach-O Man, спрямований на криптоплатформи та високопоставлених керівників; SlowMist закликає користувачів проявляти обережність проти атак.
Анотація: У статті повідомляється, що група Lazarus представила Mach-O Man — нативний шкідливий інструментарій для macOS, спрямований на криптовалютні платформи та високопоставлених керівників. SlowMist попереджає користувачів виявляти обережність, щоб зменшити ризик потенційних атак.
GateNews7год тому
