تستهدف مجموعة لازاروس الكورية الشمالية كبار المسؤولين التنفيذيين في مجال العملات المشفرة باستخدام حزمة برمجيات خبيثة لنظام macOS تُدعى "Mach-O Man"

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

قراصنة كوريا الشمالية يستهدفون مستخدمي أجهزة ماك

بحسب التقارير، يستغل هذا الهجوم ثقة الموظفين في أدوات التواصل المعتادة لديهم، مثل زووم ومايكروسوفت تيمز وجوجل ميت. وقد حوّل هذا التعاون اليومي إلى ثغرة لهجمات على مستوى النظام.

تتمثل الخطوة الأولى في عملية خداع مُحكمة الهندسة الاجتماعية عبر تطبيق تيليجرام. تستدرج هذه العملية الضحية - من مطورين ومديرين تنفيذيين وصناع قرار في مجال التكنولوجيا المالية والعملات المشفرة - إلى دعوة اجتماع عاجلة عبر حساب زميل مخترق.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

قراصنة كوريا الشمالية يستهدفون مستخدمي أجهزة ماك

بحسب التقارير، يستغل هذا الهجوم ثقة الموظفين في أدوات التواصل المعتادة لديهم، مثل زووم ومايكروسوفت تيمز وجوجل ميت. وقد حوّل هذا التعاون اليومي إلى ثغرة لهجمات على مستوى النظام.

تتمثل الخطوة الأولى في عملية خداع مُحكمة الهندسة الاجتماعية عبر تطبيق تيليجرام. تستدرج هذه العملية الضحية - من مطورين ومديرين تنفيذيين وصناع قرار في مجال التكنولوجيا المالية والعملات المشفرة - إلى دعوة اجتماع عاجلة عبر حساب زميل مخترق.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

أطلقت مجموعة لازاروس الكورية الشمالية برمجيات خبيثة متطورة تستهدف أجهزة ماك أو إس. صُممت هذه البرمجيات، التي تحمل اسم "ماك-أو مان"، لاستهداف شركات العملات الرقمية، ومؤسسات التكنولوجيا المالية، وكبار المسؤولين التنفيذيين الذين يستخدمون أجهزة ماك لإجراء المعاملات المالية.

تمdentالهجوم لأول مرة في منتصف أبريل 2026. ويستخدم تطبيقات مكان العمل الشائعة مثل Zoom وMicrosoft Teams وGoogle Meet لشن هجمات الهندسة الاجتماعية.

قراصنة كوريا الشمالية يستهدفون مستخدمي أجهزة ماك

بحسب التقارير، يستغل هذا الهجوم ثقة الموظفين في أدوات التواصل المعتادة لديهم، مثل زووم ومايكروسوفت تيمز وجوجل ميت. وقد حوّل هذا التعاون اليومي إلى ثغرة لهجمات على مستوى النظام.

تتمثل الخطوة الأولى في عملية خداع مُحكمة الهندسة الاجتماعية عبر تطبيق تيليجرام. تستدرج هذه العملية الضحية - من مطورين ومديرين تنفيذيين وصناع قرار في مجال التكنولوجيا المالية والعملات المشفرة - إلى دعوة اجتماع عاجلة عبر حساب زميل مخترق.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.

أطلقت مجموعة لازاروس الكورية الشمالية برمجيات خبيثة متطورة تستهدف أجهزة ماك أو إس. صُممت هذه البرمجيات، التي تحمل اسم "ماك-أو مان"، لاستهداف شركات العملات الرقمية، ومؤسسات التكنولوجيا المالية، وكبار المسؤولين التنفيذيين الذين يستخدمون أجهزة ماك لإجراء المعاملات المالية.

تمdentالهجوم لأول مرة في منتصف أبريل 2026. ويستخدم تطبيقات مكان العمل الشائعة مثل Zoom وMicrosoft Teams وGoogle Meet لشن هجمات الهندسة الاجتماعية.

قراصنة كوريا الشمالية يستهدفون مستخدمي أجهزة ماك

بحسب التقارير، يستغل هذا الهجوم ثقة الموظفين في أدوات التواصل المعتادة لديهم، مثل زووم ومايكروسوفت تيمز وجوجل ميت. وقد حوّل هذا التعاون اليومي إلى ثغرة لهجمات على مستوى النظام.

تتمثل الخطوة الأولى في عملية خداع مُحكمة الهندسة الاجتماعية عبر تطبيق تيليجرام. تستدرج هذه العملية الضحية - من مطورين ومديرين تنفيذيين وصناع قرار في مجال التكنولوجيا المالية والعملات المشفرة - إلى دعوة اجتماع عاجلة عبر حساب زميل مخترق.

يؤدي النقر على الرابط إلى صفحة ويب تبدو أصلية، لكنها تحاكي رسالة خطأ عند محاولة الاتصال ببرامج Zoom أو Teams أو Meet. ثم يطلب الموقع من المستخدم نسخ ولصق سطر برمجي يبدو غير ضار في تطبيق Terminal على جهاز Mac "لحل" المشكلة.

وبذلك، يمكن للضحية التحايل على آليات أمان نظام macOS، مثل Gatekeeper، لأن الهجوم ينشأ من الضحية نفسها.

عند التنفيذ، يقوم الكود بتثبيت ملف تنفيذي باسم teamsSDK.bin.

يقوم المُتلاعب بتحميل حزمة تطبيقات macOS المزيفة، ثم يُوقعها رقميًا باستخدام أداة التوقيع الرقمي الأصلية، مستخدمًا توقيعًا مُخصصًا. بعد ذلك، يطلب المُتلاعب كلمة مرور الضحية بشكل متكرر، ويعرض رسائل مترجمة بشكل رديء تبدو أصلية. 

بعد إتمام عملية التثبيت الوهمي، يبدأ السارق في تحديد بصمة النظام، وتكوين الثبات، وتثبيت الحمولة.

على عكس التقنيات الأخرى التي تنطوي على استغلال ثغرات معقدة، فإن هذه التقنية لا تنطوي على ذلك. وهذا ما يجعلها فعالة للغاية ضد الأهداف القيّمة التي قد تدير عدة مكالمات متزامنة أثناء نسخ الأوامر دون التحقق منها.

داخل برمجية ماخ-أو مان الخبيثة

يستخدم برنامج "Mach-O Man" الخبيث مراحل متعددة، كل منها مزودة بملفات ثنائية مكتوبة بلغة Go. يحتوي البرنامج الخبيث على وحدة تحليل بيانات تجمع معلومات النظام، بما في ذلك اسم المضيف، ومعرف UUID، ومعلومات وحدة المعالجة المركزية، وتكوين الشبكة، والعمليات الجارية

يحتوي على إضافات لمتصفحات Chrome وFirefox وSafari وBrave وOpera وVivaldi. تُرسل المعلومات إلى خادم التحكم والسيطرة عبر طلبات POST بسيطة باستخدام curl على المنفذين 8888 و9999.

يقوم الموديول المستمر minst2.bin بإسقاط ملف LaunchAgent plist (com.onedrive.launcher.plist)، مما يضمن تشغيل البرامج الضارة في كل مرة يقوم فيها المستخدم بتسجيل الدخول عن طريق التظاهر بأنه عملية شرعية تسمى "OneDrive" أو "خدمة مكافحة الفيروسات"

يجمع برنامج Macrasv2 الخبيث، المسؤول عن سرقة البيانات من النظام، معلومات من بيانات تسجيل الدخول إلى المتصفح وملفات تعريف الارتباط الموجودة في قواعد بيانات SQLite، بالإضافة إلى بيانات حساسة من سلسلة المفاتيح. ثم تُضغط جميع البيانات المجمعة وتُرسل عبر واجهة برمجة تطبيقات بوت Telegram، التي تم الكشف عن رمزها المميز.

إرث مجموعة لازاروس المدمر في مجال العملات المشفرة والتكنولوجيا الأمريكية

يأتي إطلاق "ماش-أو مان" في سياق جهود مجموعة لازاروس طويلة الأمد لتنفيذ هجمات إلكترونية بهدف تحقيق مكاسب مالية. وقد أسفرت هذه الهجمات عن خسائر فادحة في عالم العملات الرقمية، وخاصة تلك الموجودة في الولايات المتحدة.

تم تحديد هذه المجموعة dent أنها متورطة في بعض أكبر عمليات السرقة في تاريخ العملات المشفرة، مثل سرقة 625 مليون دولار من Ronin Network (Axie Infinity)، وسرقة 1.5 مليار دولار من Bybit، وسرقة 308 مليون دولار من DMM Bitcoin ، وسرقة 292 مليون دولار من KelpDAO ، وسرقة 285 مليون دولار من Drift، وسرقة 235 مليون دولار من WazirX.