Северокорейская группировка Lazarus Group атакует крипто-компаний и высокопоставленных руководителей с помощью вредоносного набора macOS «Mach-O Man»

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Северокорейские хакеры атакуют пользователей Mac

Как сообщалось, эта атака использует доверие сотрудников к их обычным средствам коммуникации, таким как Zoom, Microsoft Teams и Google Meet. Это превратило повседневное взаимодействие в площадку для системных атак.

Первый шаг — тщательно продуманная методов социальной инженерии через Telegram. Она заманивает жертву — разработчиков, руководителей и лиц, принимающих решения в сфере финансовых технологий и криптовалют, — в срочное приглашение на встречу, отправленное с взломанного аккаунта коллеги.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Северокорейские хакеры атакуют пользователей Mac

Как сообщалось, эта атака использует доверие сотрудников к их обычным средствам коммуникации, таким как Zoom, Microsoft Teams и Google Meet. Это превратило повседневное взаимодействие в площадку для системных атак.

Первый шаг — тщательно продуманная методов социальной инженерии через Telegram. Она заманивает жертву — разработчиков, руководителей и лиц, принимающих решения в сфере финансовых технологий и криптовалют, — в срочное приглашение на встречу, отправленное с взломанного аккаунта коллеги.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Северокорейская группировка Lazarus Group запустила продвинутое вредоносное ПО, нацеленное на устройства macOS. Это ПО, получившее название Mach-O Man, предназначено для борьбы с криптовалютными компаниями, финтех-организациями и ключевыми руководителями, использующими компьютеры Mac для финансовых транзакций.

Атака была впервыеdent​​в середине апреля 2026 года. Она использует популярные корпоративные приложения, такие как Zoom, Microsoft Teams и Google Meet, для осуществления атак с применением методов социальной инженерии.

Северокорейские хакеры атакуют пользователей Mac

Как сообщалось, эта атака использует доверие сотрудников к их обычным средствам коммуникации, таким как Zoom, Microsoft Teams и Google Meet. Это превратило повседневное взаимодействие в площадку для системных атак.

Первый шаг — тщательно продуманная методов социальной инженерии через Telegram. Она заманивает жертву — разработчиков, руководителей и лиц, принимающих решения в сфере финансовых технологий и криптовалют, — в срочное приглашение на встречу, отправленное с взломанного аккаунта коллеги.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.

Северокорейская группировка Lazarus Group запустила продвинутое вредоносное ПО, нацеленное на устройства macOS. Это ПО, получившее название Mach-O Man, предназначено для борьбы с криптовалютными компаниями, финтех-организациями и ключевыми руководителями, использующими компьютеры Mac для финансовых транзакций.

Атака была впервыеdent​​в середине апреля 2026 года. Она использует популярные корпоративные приложения, такие как Zoom, Microsoft Teams и Google Meet, для осуществления атак с применением методов социальной инженерии.

Северокорейские хакеры атакуют пользователей Mac

Как сообщалось, эта атака использует доверие сотрудников к их обычным средствам коммуникации, таким как Zoom, Microsoft Teams и Google Meet. Это превратило повседневное взаимодействие в площадку для системных атак.

Первый шаг — тщательно продуманная методов социальной инженерии через Telegram. Она заманивает жертву — разработчиков, руководителей и лиц, принимающих решения в сфере финансовых технологий и криптовалют, — в срочное приглашение на встречу, отправленное с взломанного аккаунта коллеги.

Переход по ссылке приводит на, казалось бы, подлинную веб-страницу, которая имитирует сообщение об ошибке при попытке подключения к Zoom, Teams или Meet. Затем веб-сайт просит пользователя скопировать и вставить, казалось бы, безобидную строку кода в Терминал на Mac, чтобы «решить» проблему.

Таким образом, жертва может обойти механизмы безопасности macOS, такие как Gatekeeper, поскольку атака исходит от самой жертвы.

При выполнении код устанавливает исполняемый файл с именем teamsSDK.bin.

Злоумышленник загружает поддельный пакет приложения для macOS и подписывает его цифровой подписью с помощью встроенного инструмента CodeSign, используя специальную подпись. Затем он неоднократно запрашивает у жертвы пароль, отображая плохо переведенные сообщения, которые выглядят правдоподобно. 

После завершения процесса имитированной установки злоумышленник приступает к снятию отпечатков системы, настройке постоянного присутствия и установке полезной нагрузки.

В отличие от других методов, требующих сложных эксплойтов, этот метод их не требует. Это делает его очень эффективным против ценных целей, которые могут одновременно обрабатывать несколько вызовов, копируя команды без их проверки.

Внутри вредоносной программы Mach-O Man

Вредоносная программа «Mach-O Man» использует несколько этапов, каждый из которых содержит скомпилированные на языке Go бинарные файлы Mach-O. Вредоносная программа содержит модуль профилирования, который собирает системную информацию, включая имя хоста, UUID, информацию о процессоре, конфигурацию сети и запущенные процессы

Он имеет расширения для браузеров Chrome, Firefox, Safari, Brave, Opera и Vivaldi. Информация передается на сервер управления и контроля посредством простых POST-запросов curl на портах 8888 и 9999.

Постоянно активируемый модуль minst2.bin создает файл LaunchAgent plist (com.onedrive.launcher.plist), который гарантирует запуск вредоносной программы каждый раз при входе пользователя в систему, маскируясь под легитимный процесс под названием «OneDrive» или «Antivirus Service»

Macrasv2, последняя полезная нагрузка, ответственная за кражу данных из системы, собирает информацию из учетных данных для входа в браузер и файлов cookie, хранящихся в базах данных SQLite, а также из конфиденциальных записей Keychain. Все собранные данные затем архивируются и отправляются через API бота Telegram, токен которого был обнаружен.

Разрушительное наследие Lazarus Group в сфере криптовалют и американских технологий

Запуск «Mach-O Man» соответствует давним усилиям Lazarus Group по проведению кибератак с целью получения финансовой выгоды. Эти атаки привели к огромным убыткам для криптомира, особенно для тех, кто базируется в Соединенных Штатах.

Эта группа былаdentкак причастная к некоторым из крупнейших краж в истории криптовалют, таким как кража 625 миллионов долларов у Ronin Network (Axie Infinity), кража 1,5 миллиарда долларов у Bybit, кража 308 миллионов долларов у DMM Bitcoin, кража 292 миллионов долларов у KelpDAO, кража 285 миллионов долларов у Drift и кража 235 миллионов долларов у WazirX.