Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Des pirates informatiques nord-coréens s'en prennent aux utilisateurs de Mac
D'après les informations disponibles, cette attaque exploite la confiance que les employés accordent à leurs outils de communication habituels, tels que Zoom, Microsoft Teams et Google Meet. La collaboration quotidienne devient ainsi une porte d'entrée pour les attaques systémiques.
La première étape consiste en une d'ingénierie sociale via Telegram. Celle-ci attire la victime – développeurs, cadres et décideurs du secteur fintech et crypto – en l'invitant à une réunion urgente depuis le compte compromis d'un collègue.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Des pirates informatiques nord-coréens s'en prennent aux utilisateurs de Mac
D'après les informations disponibles, cette attaque exploite la confiance que les employés accordent à leurs outils de communication habituels, tels que Zoom, Microsoft Teams et Google Meet. La collaboration quotidienne devient ainsi une porte d'entrée pour les attaques systémiques.
La première étape consiste en une d'ingénierie sociale via Telegram. Celle-ci attire la victime – développeurs, cadres et décideurs du secteur fintech et crypto – en l'invitant à une réunion urgente depuis le compte compromis d'un collègue.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Le groupe nord-coréen Lazarus a lancé un logiciel malveillant sophistiqué ciblant les appareils macOS. Baptisé Mach-O Man, il vise les entreprises de cryptomonnaies, les organisations fintech et les dirigeants utilisant des Mac pour leurs transactions financières.
L'attaque a étédentpour la première fois au milieu du mois d'avril 2026. Elle utilise des applications professionnelles populaires telles que Zoom, Microsoft Teams et Google Meet pour lancer des attaques d'ingénierie sociale.
Des pirates informatiques nord-coréens s'en prennent aux utilisateurs de Mac
D'après les informations disponibles, cette attaque exploite la confiance que les employés accordent à leurs outils de communication habituels, tels que Zoom, Microsoft Teams et Google Meet. La collaboration quotidienne devient ainsi une porte d'entrée pour les attaques systémiques.
La première étape consiste en une d'ingénierie sociale via Telegram. Celle-ci attire la victime – développeurs, cadres et décideurs du secteur fintech et crypto – en l'invitant à une réunion urgente depuis le compte compromis d'un collègue.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
Le groupe nord-coréen Lazarus a lancé un logiciel malveillant sophistiqué ciblant les appareils macOS. Baptisé Mach-O Man, il vise les entreprises de cryptomonnaies, les organisations fintech et les dirigeants utilisant des Mac pour leurs transactions financières.
L'attaque a étédentpour la première fois au milieu du mois d'avril 2026. Elle utilise des applications professionnelles populaires telles que Zoom, Microsoft Teams et Google Meet pour lancer des attaques d'ingénierie sociale.
Des pirates informatiques nord-coréens s'en prennent aux utilisateurs de Mac
D'après les informations disponibles, cette attaque exploite la confiance que les employés accordent à leurs outils de communication habituels, tels que Zoom, Microsoft Teams et Google Meet. La collaboration quotidienne devient ainsi une porte d'entrée pour les attaques systémiques.
La première étape consiste en une d'ingénierie sociale via Telegram. Celle-ci attire la victime – développeurs, cadres et décideurs du secteur fintech et crypto – en l'invitant à une réunion urgente depuis le compte compromis d'un collègue.
Cliquer sur ce lien redirige vers une page web d'apparence authentique qui simule un message d'erreur lors de la tentative de connexion à Zoom, Teams ou Meet. Le site invite ensuite la victime à copier-coller une ligne de code apparemment inoffensive dans le Terminal de son Mac pour « résoudre » le problème.
Ce faisant, la victime peut contourner les mécanismes de sécurité de macOS, tels que Gatekeeper, puisque l'attaque provient de la victime elle-même.
Lors de son exécution, le code installe un fichier binaire nommé teamsSDK.bin.
Le pirate télécharge le faux paquet d'application macOS et le signe numériquement avec l'outil de cosignature natif, en utilisant une signature ad hoc. Il demande ensuite à plusieurs reprises le mot de passe de la victime, en affichant des messages mal traduits mais d'apparence authentique.
Une fois le processus de fausse installation terminé, le voleur lance l'identification du système, la configuration de la persistance et l'installation de la charge utile.
Contrairement à d'autres techniques qui reposent sur des exploits complexes, celle-ci n'en nécessite aucun. Cela la rend particulièrement efficace contre des cibles importantes capables de gérer plusieurs appels simultanés tout en copiant des commandes sans les vérifier.
À l'intérieur du logiciel malveillant Mach-O Man
Le logiciel malveillant « Mach-O Man » utilise plusieurs étapes, chacune avec des binaires Mach-O compilés en Go. Il contient un module de profilage qui collecte des informations système, notamment le nom d'hôte, l'UUID, les informations sur le processeur, la configuration réseau et les processus en cours d'exécution
Il existe des extensions pour les navigateurs Chrome, Firefox, Safari, Brave, Opera et Vivaldi. Les informations sont transmises au serveur de commande et de contrôle via de simples requêtes POST curl sur les ports 8888 et 9999.
Le module persistant minst2.bin dépose un fichier plist LaunchAgent (com.onedrive.launcher.plist), qui garantit que le logiciel malveillant se lance à chaque fois que l'utilisateur se connecte en se faisant passer pour un processus légitime appelé « OneDrive » ou « Service antivirus »
Macrasv2, le dernier programme malveillant responsable du vol de données du système, collecte des informations provenant des identifiants de connexion du navigateur, des cookies présents dans les bases de données SQLite et des entrées sensibles du Trousseau d'accès. Toutes les données collectées sont ensuite compressées et envoyées via l'API du bot Telegram, dont le jeton était exposé.
L'héritage dévastateur du groupe Lazarus dans le secteur des cryptomonnaies et des technologies américaines
Le lancement de « Mach-O Man » s'inscrit dans la stratégie de longue date du groupe Lazarus visant à mener des cyberattaques à des fins lucratives. Ces attaques ont engendré des pertes considérables pour le secteur des cryptomonnaies, notamment aux États-Unis.
Ce groupe a été dent comme impliqué dans certains des plus grands vols de l'histoire des cryptomonnaies, tels que le vol de 625 millions de dollars chez Ronin Network (Axie Infinity), le vol de 1,5 milliard de dollars chez Bybit, le vol de 308 millions de dollars chez DMM Bitcoin , le vol de 292 millions de dollars chez KelpDAO , le vol de 285 millions de dollars chez Drift et le vol de 235 millions de dollars chez WazirX.
