Lazarus Group атакует пользователей macOS новым вредоносным арсеналом Mach-O Man

Новый инструмент северокорейских хакеров нацелен на криптоиндустрию

Хакерская группировка Lazarus Group, связанная с Северной Кореей, развернула масштабную кампанию с применением нового модульного вредоносного ПО для macOS под названием Mach-O Man. Об этом сообщил специалист по кибербезопасности Мауро Элдрич.

«Lazarus вернулся с новым набором вредоносного ПО для macOS. Он состоит из нескольких бинарных файлов Mach-O, мы назвали его "Mach-O Man". Распространяется через ClickFix в криптоэкосистеме для кражи секретных данных» — Mauro Eldritch (@MauroEldritch), оригинальный пост

По данным Элдрича, разработкой арсенала занималась другая северокорейская группировка — Famous Chollima. Инструменты представляют собой нативные бинарные файлы формата Mach-O, специально созданные под экосистему Apple — платформу, которой активно пользуются крипто- и финтех-компании.

Как работает атака через ClickFix

Распространение вредоносного ПО осуществляется с помощью техники социальной инженерии ClickFix. Суть метода: злоумышленники отправляют жертве через Telegram «срочное» приглашение на видеозвонок в Zoom, Microsoft Teams или Google Meet.

Ссылка в приглашении перенаправляет на фишинговый сайт, где пользователя просят скопировать и вставить простую команду в терминал Mac — якобы для «исправления проблемы с подключением». После выполнения команды злоумышленники получают прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам организации. Как правило, компрометация обнаруживается слишком поздно — когда ущерб уже нанесён.

Захват доменов DeFi-проектов

Исследователь кибербезопасности Владимир С. указал на существование нескольких вариаций описанной атаки. В частности, зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов и подменяли их сайты поддельным уведомлением от Cloudflare с просьбой ввести команду для «подтверждения доступа».

«Я также видел немного другую вариацию атаки, когда злоумышленники захватывали домен DeFi-проекта и заменяли сайт поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа. Множество людей попались на это» — Vladimir S. | Officer's Notes (@officer_secret), оригинальный пост

Почему это важно

Lazarus Group демонстрирует беспрецедентный уровень активности. Старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон подчеркнула, что атаки на Kelp, Drift и появление нового macOS-арсенала — всё это произошло в течение одного месяца. По её словам, речь идёт не о разрозненных взломах, а о государственной финансовой операции, работающей в масштабе и темпе, характерном для институций.

Угроза для криптоиндустрии усиливается и на кадровом уровне. В апреле стипендиат Ethereum Foundation выявил около 100 северокорейских IT-агентов, внедрённых в Web3-компании. Ранее аналогичную сеть специалистов из КНДР обнаружил ончейн-детектив.

Пользователям macOS в криптосекторе рекомендуется проявлять повышенную бдительность при получении неожиданных приглашений на видеоконференции, особенно через мессенджеры, и ни при каких обстоятельствах не вставлять незнакомые команды в терминал.