最优质的加密货币资讯直接发送到您的邮箱。.
- 朝鲜的拉扎勒斯集团推出了名为“Mach-O Man”的复杂恶意软件工具包,该工具包针对加密货币和金融科技领域的 macOS 用户。.
- 该恶意软件会窃取浏览器dent、cookie、钥匙串数据和系统信息。.
- 这项技术将 Lazarus Group 的服务范围扩展到了在 Apple 设备上处理关键钱包和密钥的高价值高管和开发人员。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的 社交工程 诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的 社交工程 诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜拉撒路组织推出了一款针对macOS设备的先进恶意软件。这款名为“Mach-O Man”的恶意软件旨在攻击使用Mac电脑进行金融交易的加密货币公司、金融科技机构和高管。.
该攻击最早于 2026 年 4 月中旬被dent。它利用 Zoom、Microsoft Teams 和 Google Meet 等流行的办公应用程序发起社会工程攻击。.
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的 社交工程 诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
朝鲜拉撒路组织推出了一款针对macOS设备的先进恶意软件。这款名为“Mach-O Man”的恶意软件旨在攻击使用Mac电脑进行金融交易的加密货币公司、金融科技机构和高管。.
该攻击最早于 2026 年 4 月中旬被dent。它利用 Zoom、Microsoft Teams 和 Google Meet 等流行的办公应用程序发起社会工程攻击。.
朝鲜黑客攻击Mac用户
据报道,此次攻击利用了员工对常用通讯工具(例如 Zoom、Microsoft Teams 和 Google Meet)的信任。这使得日常协作成为系统级攻击的途径。.
第一步是通过 Telegram 精心策划的 社交工程 诱饵。这诱使受害者——金融科技和加密货币领域的开发人员、高管和决策者——点击由被盗同事账户发出的紧急会议邀请。
点击链接后,会跳转到一个看似真实的网页,该网页会模拟连接 Zoom、Teams 或 Meet 时出现的错误信息。然后,该网站会要求受害者将一行看似无害的代码复制粘贴到 Mac 的终端中以“解决”问题。.
这样一来,受害者就可以绕过 macOS 的安全机制,例如 Gatekeeper,因为 攻击 源自受害者自身。
执行后,该代码会安装一个名为 teamsSDK.bin 的二进制文件。.
攻击者下载伪造的 macOS 应用包,并使用原生代码签名工具通过临时签名对其进行数字签名。然后,它会反复向受害者索要密码,并显示一些翻译粗糙但看似真实的提示信息。.
完成虚假安装过程后,窃取程序开始进行系统指纹识别、持久化配置和有效载荷安装。.
与其他涉及复杂漏洞利用的技术不同,这种方法并不需要复杂的漏洞利用。这使得它对那些可能同时管理多个调用并在不验证命令的情况下复制命令的重要目标非常有效。.
Mach-O Man恶意软件内部
“Mach-O Man”恶意软件采用多阶段攻击,每个阶段都包含用 Go 语言编译的 Mach-O 二进制文件。该恶意软件包含一个分析器模块,用于收集系统信息,包括主机名、UUID、CPU 信息、网络配置和正在运行的进程。
它拥有适用于 Chrome、Firefox、Safari、Brave、Opera 和 Vivaldi 浏览器的扩展程序。信息通过简单的 curl POST 请求,经由 8888 和 9999 端口传输到命令与控制服务器。.
持久模块 minst2.bin 会释放一个 LaunchAgent plist 文件 (com.onedrive.launcher.plist),该文件会伪装成名为“OneDrive”或“防病毒服务”的合法进程,确保每次用户登录时恶意软件都会启动。
Macrasv2 是最后一个负责窃取系统数据的恶意程序,它会收集浏览器登录信息、SQLite 数据库中的 cookie 以及敏感的 Keychain 条目。所有收集到的数据都会被压缩并通过 Telegram 机器人 API 发送出去,而该 API 的令牌已经暴露。.
拉扎勒斯集团在加密货币和美国科技领域留下的毁灭性遗产
“Mach-O Man”的推出与拉扎勒斯集团长期以来为牟取经济利益而实施网络攻击的策略一脉相承。这些攻击已给加密货币领域,尤其是美国的加密货币领域,造成了巨大损失。.
该组织已被dent参与了加密货币历史上一些最大的盗窃案,例如 Ronin Network (Axie Infinity) 被盗 6.25 亿美元,Bybit 被盗 15 亿美元,DMM Bitcoin被盗 2.92 亿美元 KelpDAO,Drift 被盗 2.85 亿美元,以及 WazirX 被盗 2.35 亿美元。
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
免责声明:本页面提供的信息并非交易建议。Cryptopolitan.com对任何基于本页面信息进行的投资概不负责。我们tron您在做出任何投资决定前进行独立dent /或咨询合格的专业人士。Cryptopolitan研究
弗洛伦斯·穆查伊
弗洛伦斯在过去六年里一直从事加密货币、游戏、科技和人工智能领域的新闻报道。她在梅鲁科技大学(MMUST)的计算机科学专业以及灾害管理与国际外交专业的学习,使她具备了扎实的语言、观察和技术技能。弗洛伦斯曾在VAP集团工作,并担任过多家加密货币媒体的编辑。.
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)