持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的社交工程诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的社交工程诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜拉撒路组织推出了一款针对macOS设备的先进恶意软件。这款名为“Mach-O Man”的恶意软件旨在攻击使用Mac电脑进行金融交易的加密货币公司、金融科技机构和高管。.
该攻击最早于 2026 年 4 月中旬被dent。它利用 Zoom、Microsoft Teams 和 Google Meet 等流行的办公应用程序发起社会工程攻击。.
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的社交工程诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜拉撒路组织推出了一款针对macOS设备的先进恶意软件。这款名为“Mach-O Man”的恶意软件旨在攻击使用Mac电脑进行金融交易的加密货币公司、金融科技机构和高管。.
该攻击最早于 2026 年 4 月中旬被dent。它利用 Zoom、Microsoft Teams 和 Google Meet 等流行的办公应用程序发起社会工程攻击。.
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的社交工程诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为攻击源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin KelpDAO被盗 2.92 亿美元,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
