Il gruppo nordcoreano Lazarus prende di mira il settore delle criptovalute e i dirigenti di alto profilo con il kit malware per macOS "Mach-O Man"

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Gli hacker nordcoreani prendono di mira gli utenti Mac

Come riportato, questo attacco sfrutta la fiducia che i dipendenti ripongono nei loro strumenti di comunicazione abituali, come Zoom, Microsoft Teams e Google Meet. Ciò ha trasformato la collaborazione quotidiana in una potenziale porta d'accesso per attacchi a livello di sistema.

Il primo passo consiste in un'esca di ingegneria sociale accuratamente orchestrata tramite Telegram. Questa attira la vittima – sviluppatori, dirigenti e responsabili decisionali nel settore fintech e delle criptovalute – in un invito a una riunione urgente tramite l'account di un collega compromesso.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Gli hacker nordcoreani prendono di mira gli utenti Mac

Come riportato, questo attacco sfrutta la fiducia che i dipendenti ripongono nei loro strumenti di comunicazione abituali, come Zoom, Microsoft Teams e Google Meet. Ciò ha trasformato la collaborazione quotidiana in una potenziale porta d'accesso per attacchi a livello di sistema.

Il primo passo consiste in un'esca di ingegneria sociale accuratamente orchestrata tramite Telegram. Questa attira la vittima – sviluppatori, dirigenti e responsabili decisionali nel settore fintech e delle criptovalute – in un invito a una riunione urgente tramite l'account di un collega compromesso.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Il gruppo nordcoreano Lazarus ha lanciato un malware avanzato che prende di mira i dispositivi macOS. Chiamato Mach-O Man, è progettato per colpire le aziende di criptovalute, le organizzazioni fintech e i dirigenti chiave che utilizzano Mac per le transazioni finanziarie.

L'attacco è statodentper la prima volta a metà aprile 2026. Sfrutta applicazioni aziendali molto diffuse come Zoom, Microsoft Teams e Google Meet per lanciare attacchi di ingegneria sociale.

Gli hacker nordcoreani prendono di mira gli utenti Mac

Come riportato, questo attacco sfrutta la fiducia che i dipendenti ripongono nei loro strumenti di comunicazione abituali, come Zoom, Microsoft Teams e Google Meet. Ciò ha trasformato la collaborazione quotidiana in una potenziale porta d'accesso per attacchi a livello di sistema.

Il primo passo consiste in un'esca di ingegneria sociale accuratamente orchestrata tramite Telegram. Questa attira la vittima – sviluppatori, dirigenti e responsabili decisionali nel settore fintech e delle criptovalute – in un invito a una riunione urgente tramite l'account di un collega compromesso.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.

Il gruppo nordcoreano Lazarus ha lanciato un malware avanzato che prende di mira i dispositivi macOS. Chiamato Mach-O Man, è progettato per colpire le aziende di criptovalute, le organizzazioni fintech e i dirigenti chiave che utilizzano Mac per le transazioni finanziarie.

L'attacco è statodentper la prima volta a metà aprile 2026. Sfrutta applicazioni aziendali molto diffuse come Zoom, Microsoft Teams e Google Meet per lanciare attacchi di ingegneria sociale.

Gli hacker nordcoreani prendono di mira gli utenti Mac

Come riportato, questo attacco sfrutta la fiducia che i dipendenti ripongono nei loro strumenti di comunicazione abituali, come Zoom, Microsoft Teams e Google Meet. Ciò ha trasformato la collaborazione quotidiana in una potenziale porta d'accesso per attacchi a livello di sistema.

Il primo passo consiste in un'esca di ingegneria sociale accuratamente orchestrata tramite Telegram. Questa attira la vittima – sviluppatori, dirigenti e responsabili decisionali nel settore fintech e delle criptovalute – in un invito a una riunione urgente tramite l'account di un collega compromesso.

Cliccando sul link si accede a una pagina web apparentemente autentica che simula un messaggio di errore che si verifica quando si tenta di connettersi a Zoom, Teams o Meet. Il sito web chiede quindi alla vittima di copiare e incollare una riga di codice apparentemente innocua nel Terminale del Mac per "risolvere" il problema.

In tal modo, la vittima può eludere i meccanismi di sicurezza di macOS, come Gatekeeper, poiché l'attacco ha origine dalla vittima stessa.

Una volta eseguito, il codice installa un file binario denominato teamsSDK.bin.

Il truffatore scarica il pacchetto di app macOS contraffatto e lo firma digitalmente con lo strumento nativo di codesign utilizzando una firma ad hoc. Successivamente, chiede ripetutamente alla vittima la password, visualizzando messaggi tradotti male che sembrano autentici. 

Dopo aver completato la finta procedura di installazione, il ladro avvia la raccolta di impronte digitali del sistema, la configurazione della persistenza e l'installazione del payload.

A differenza di altre tecniche che prevedono exploit complessi, questa non ne richiede. Ciò la rende molto efficace su obiettivi di valore che potrebbero gestire diverse chiamate simultanee copiando i comandi senza verificarli.

All'interno del malware Mach-O Man

Il malware "Mach-O Man" utilizza più fasi, ognuna con binari Mach-O compilati in Go. Il malware contiene un modulo di profilazione che raccoglie informazioni di sistema, tra cui nome host, UUID, informazioni sulla CPU, configurazione di rete e processi in esecuzione

Dispone di estensioni per i browser Chrome, Firefox, Safari, Brave, Opera e Vivaldi. Le informazioni vengono trasmesse al server di comando e controllo tramite semplici richieste POST di curl sulle porte 8888 e 9999.

Il modulo persistente minst2.bin rilascia un file plist LaunchAgent (com.onedrive.launcher.plist), che garantisce l'avvio del malware ogni volta che l'utente effettua l'accesso, spacciandosi per un processo legittimo chiamato "OneDrive" o "Servizio antivirus"

Macrasv2, l'ultimo payload responsabile del furto di dati dal sistema, raccoglie informazioni dai dettagli di accesso del browser e dai cookie presenti nei database SQLite, nonché voci sensibili del Portachiavi. Tutti i dati raccolti vengono poi compressi e inviati tramite l'API del bot Telegram, il cui token è stato esposto in superficie.

La devastante eredità di Lazarus Group nel mondo delle criptovalute e della tecnologia statunitense

Il lancio di "Mach-O Man" si inserisce nel quadro delle attività a lungo termine del Gruppo Lazarus, volte a condurre attacchi informatici a scopo di lucro. Tali attacchi hanno causato ingenti perdite al mondo delle criptovalute, in particolare a quelle con sede negli Stati Uniti.

Questo gruppo è statodentcome coinvolto in alcuni dei più grandi furti nella storia delle criptovalute, come il furto di 625 milioni di dollari da Ronin Network (Axie Infinity), il furto di 1,5 miliardi di dollari da Bybit, il furto di 308 milioni di dollari da DMM Bitcoin, il furto di 292 milioni di dollari da KelpDAO, il furto di 285 milioni di dollari da Drift e il furto di 235 milioni di dollari da WazirX.