Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Die nordkoreanische Lazarus-Gruppe zielt mit dem macOS-Malware-Kit „Mach-O Man“ auf Krypto-Experten und hochrangige Führungskräfte ab
- Die nordkoreanische Lazarus-Gruppe hat „Mach-O Man“ veröffentlicht, ein ausgeklügeltes Malware-Kit, das macOS-Nutzer im Krypto- und Fintech-Bereich ins Visier nimmt.
- Die Schadsoftware stiehlt Browser-dent, Cookies, Schlüsselbunddaten und Systeminformationen.
- Diese Technologie erweitert den Wirkungsbereich der Lazarus Group auf hochrangige Führungskräfte und Entwickler, die kritische Wallets und Schlüssel auf Apple-Geräten verwalten.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Nordkoreas Hacker haben es auf Mac-Nutzer abgesehen
Wie berichtet, nutzt dieser Angriff das Vertrauen aus, das Mitarbeiter in ihre gewohnten Kommunikationsmittel wie Zoom, Microsoft Teams und Google Meet setzen. Dadurch wird die alltägliche Zusammenarbeit zu einem Einfallstor für Angriffe auf Systemebene.
Der erste Schritt ist ein sorgfältig ausgearbeiteter Social-Engineering- Köder über Telegram. Dieser lockt das Opfer – Entwickler, Führungskräfte und Entscheidungsträger im Fintech- und Kryptobereich – über den Account eines kompromittierten Kollegen zu einer dringenden Besprechungseinladung.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Nordkoreas Hacker haben es auf Mac-Nutzer abgesehen
Wie berichtet, nutzt dieser Angriff das Vertrauen aus, das Mitarbeiter in ihre gewohnten Kommunikationsmittel wie Zoom, Microsoft Teams und Google Meet setzen. Dadurch wird die alltägliche Zusammenarbeit zu einem Einfallstor für Angriffe auf Systemebene.
Der erste Schritt ist ein sorgfältig ausgearbeiteter Social-Engineering- Köder über Telegram. Dieser lockt das Opfer – Entwickler, Führungskräfte und Entscheidungsträger im Fintech- und Kryptobereich – über den Account eines kompromittierten Kollegen zu einer dringenden Besprechungseinladung.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Die nordkoreanische Lazarus-Gruppe hat eine hochentwickelte Schadsoftware namens Mach-O Man veröffentlicht, die macOS-Geräte angreift. Sie zielt auf Krypto-Unternehmen, Fintech-Organisationen und Führungskräfte ab, die Macs für Finanztransaktionen nutzen.
Der Angriff wurde erstmals Mitte April 2026dent. Er nutzt beliebte Arbeitsplatz-Apps wie Zoom, Microsoft Teams und Google Meet, um Social-Engineering-Angriffe durchzuführen.
Nordkoreas Hacker haben es auf Mac-Nutzer abgesehen
Wie berichtet, nutzt dieser Angriff das Vertrauen aus, das Mitarbeiter in ihre gewohnten Kommunikationsmittel wie Zoom, Microsoft Teams und Google Meet setzen. Dadurch wird die alltägliche Zusammenarbeit zu einem Einfallstor für Angriffe auf Systemebene.
Der erste Schritt ist ein sorgfältig ausgearbeiteter Social-Engineering- Köder über Telegram. Dieser lockt das Opfer – Entwickler, Führungskräfte und Entscheidungsträger im Fintech- und Kryptobereich – über den Account eines kompromittierten Kollegen zu einer dringenden Besprechungseinladung.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Die nordkoreanische Lazarus-Gruppe hat eine hochentwickelte Schadsoftware namens Mach-O Man veröffentlicht, die macOS-Geräte angreift. Sie zielt auf Krypto-Unternehmen, Fintech-Organisationen und Führungskräfte ab, die Macs für Finanztransaktionen nutzen.
Der Angriff wurde erstmals Mitte April 2026dent. Er nutzt beliebte Arbeitsplatz-Apps wie Zoom, Microsoft Teams und Google Meet, um Social-Engineering-Angriffe durchzuführen.
Nordkoreas Hacker haben es auf Mac-Nutzer abgesehen
Wie berichtet, nutzt dieser Angriff das Vertrauen aus, das Mitarbeiter in ihre gewohnten Kommunikationsmittel wie Zoom, Microsoft Teams und Google Meet setzen. Dadurch wird die alltägliche Zusammenarbeit zu einem Einfallstor für Angriffe auf Systemebene.
Der erste Schritt ist ein sorgfältig ausgearbeiteter Social-Engineering- Köder über Telegram. Dieser lockt das Opfer – Entwickler, Führungskräfte und Entscheidungsträger im Fintech- und Kryptobereich – über den Account eines kompromittierten Kollegen zu einer dringenden Besprechungseinladung.
Ein Klick auf den Link führt zu einer scheinbar authentischen Webseite, die eine Fehlermeldung beim Verbindungsversuch mit Zoom, Teams oder Meet simuliert. Die Webseite fordert das Opfer anschließend auf, eine scheinbar harmlose Codezeile in das Terminal des Macs einzufügen, um das Problem zu „lösen“.
Dadurch kann das Opfer die Sicherheitsmechanismen von macOS, wie beispielsweise Gatekeeper, umgehen, da der Angriff vom Opfer selbst ausgeht.
Bei der Ausführung installiert der Code eine Binärdatei namens teamsSDK.bin.
Der Angreifer lädt das gefälschte macOS-App-Bundle herunter und signiert es digital mit dem nativen Codesignatur-Tool mithilfe einer Ad-hoc-Signatur. Anschließend fordert er das Opfer wiederholt zur Eingabe seines Passworts auf und zeigt dabei schlecht übersetzte, aber authentisch wirkende Nachrichten an.
Nach Abschluss des gefälschten Installationsprozesses beginnt der Stealer mit dem System-Fingerprinting, der Persistenzkonfiguration und der Installation der Payload.
Im Gegensatz zu anderen Techniken, die komplexe Exploits erfordern, kommt diese hier ohne aus. Dadurch ist sie besonders effektiv gegen wertvolle Ziele, die möglicherweise mehrere gleichzeitige Anrufe tätigen und dabei Befehle kopieren, ohne diese zu überprüfen.
Im Inneren der Mach-O-Man-Malware
Die Malware „Mach-O Man“ durchläuft mehrere Phasen, die jeweils mit in Go kompilierten Mach-O-Binärdateien arbeiten. Die Malware enthält ein Profiler-Modul, das Systeminformationen sammelt, darunter Hostname, UUID, CPU-Informationen, Netzwerkkonfiguration und laufende Prozesse
Es verfügt über Erweiterungen für die Browser Chrome, Firefox, Safari, Brave, Opera und Vivaldi. Die Informationen werden über einfache curl-POST-Anfragen an die Ports 8888 und 9999 an den Command-and-Control-Server übermittelt.
Das persistente Modul minst2.bin legt eine LaunchAgent-plist-Datei (com.onedrive.launcher.plist) ab, die sicherstellt, dass die Malware jedes Mal startet, wenn sich der Benutzer anmeldet, indem sie sich als legitimer Prozess namens „OneDrive“ oder „Antivirus-Dienst“ ausgibt
Macrasv2, die letzte Schadsoftware, die für den Datendiebstahl verantwortlich ist, sammelt Informationen aus Browser-Anmeldedaten und Cookies in SQLite-Datenbanken sowie sensible Keychain-Einträge. Alle gesammelten Daten werden anschließend komprimiert und über die Telegram-Bot-API versendet, deren Token offengelegt wurde.
Das verheerende Erbe der Lazarus Group im Krypto- und US-Technologiebereich
Die Veröffentlichung von „Mach-O Man“ steht im Einklang mit den langfristigen Bemühungen der Lazarus Group, Cyberangriffe zum Zwecke der finanziellen Bereicherung durchzuführen. Diese Angriffe haben der Kryptowelt, insbesondere den in den Vereinigten Staaten ansässigen Nutzern, enorme Verluste verursacht.
Diese Gruppe wurdedentals an einigen der größten Diebstähle in der Geschichte der Kryptowährungen beteiligt identifiziert, wie beispielsweise dem Diebstahl von 625 Millionen Dollar vom Ronin Network (Axie Infinity), dem Diebstahl von 1,5 Milliarden Dollar von Bybit, dem Diebstahl von 308 Millionen Dollar von DMM Bitcoindem Diebstahl von 292 Millionen Dollar von KelpDAO, dem Diebstahl von 285 Millionen Dollar von Drift und dem Diebstahl von 235 Millionen Dollar von WazirX.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Florence Muchai
Florence berichtet seit sechs Jahren über Krypto, Gaming, Technologie und KI. Ihr Informatikstudium an der Meru University of Science and Technology sowie ihr Studium des Katastrophenmanagements und der internationalen Diplomatie an der MMUST haben ihr fundierte Sprachkenntnisse, Beobachtungsgabe und technisches Know-how vermittelt. Florence arbeitete bereits für die VAP Group und als Redakteurin für verschiedene Krypto-Medien.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)