Компания Mandiant 首席 специалист по кибербезопасности 23pds 22 апреля опубликовала предупреждение о том, что северокорейская хакерская группа Lazarus Group выпустила новый нативный набор инструментов вредоносного ПО для macOS «Mach-O Man», предназначенный специально для индустрии криптовалют и руководителей компаний с высокой ценностью.
Методы атаки и цели
Согласно аналитическому отчету Mauro Eldritch, в этот раз атака использует технику ClickFix: злоумышленники рассылают через Telegram (с использованием аккаунта контакта, который был скомпрометирован) ссылки, замаскированные под приглашения на легитимные встречи, чтобы направить цель на фальшивые веб-сайты, имитирующие Zoom, Microsoft Teams или Google Meet, а затем предлагают пользователям выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением. Это позволяет злоумышленникам получить доступ к системе, не срабатывая на традиционные механизмы безопасности.
Данные, на которые нацелена атака, включают: учетные данные и Cookie, сохраненные в браузере, данные macOS Keychain, а также данные расширений браузеров, таких как Brave, Vivaldi, Opera, Chrome, Firefox и Safari. Украденные данные разглашаются через Telegram Bot API; в отчете отмечается, что злоумышленники раскрыли токен Telegram-бота (ошибка в OPSEC), что ослабило их ситуационную безопасность действий.
Основными жертвами являются разработчики, руководители и лица, принимающие решения, работающие в средах компаний с высокой ценностью, включая финтех и индустрию криптовалют, а также экосистемы, где macOS широко используется.
Основные компоненты набора инструментов Mach-O Man
Согласно техническому анализу Mauro Eldritch, набор инструментов состоит из следующих ключевых модулей:
teamsSDK.bin: первичный загрузчик, маскируется под Teams, Zoom, Google или системное приложение, выполняет базовое определение системной «отпечаточности» (fingerprint)
D1{случайная строка}.bin: анализатор системы, собирает имя хоста, тип CPU, сведения об операционной системе и список расширений браузера, после чего отправляет их на C2-сервер
minst2.bin: модуль постоянства, создает каталог маскировки «Antivirus Service» и LaunchAgent, чтобы гарантировать выполнение после каждого входа в систему
macrasv2: финальный похититель, собирает учетные данные браузера, Cookie и записи macOS Keychain, упаковывает их, затем разглашает через Telegram и самоуничтожается
Краткое резюме ключевых индикаторов компрометации (IOC)
Согласно IOC, опубликованным в отчете Mauro Eldritch:
Зловредный IP: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Зловредные домены: update-teams[.]live / livemicrosft[.]com
Ключевые файлы (частично): teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
Порты C2-коммуникаций: 8888 и 9999; в основном используются характерные строки User-Agent для клиента Go HTTP
Полные значения хешей и матрица ATT&CK см. в исходном исследовательском отчете Mauro Eldritch.
Часто задаваемые вопросы
На какие отрасли и цели ориентирован набор инструментов «Mach-O Man»?
Согласно предупреждению Mandiant 23pds и исследованию BCA LTD, «Mach-O Man» в первую очередь нацелен на отрасли финтеха и криптовалют, а также на среды компаний с высокой ценностью, где macOS широко используется; в особенности — на сегмент разработчиков, руководителей и лиц, принимающих решения.
Как злоумышленники побуждают пользователей macOS выполнять вредоносные команды?
Согласно анализу Mauro Eldritch, злоумышленники отправляют через Telegram ссылки, замаскированные под легитимные приглашения на встречи, направляя пользователей на поддельные веб-сайты, имитирующие Zoom, Teams или Google Meet, после чего предлагают выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением, тем самым инициируя установку вредоносного ПО.
Как «Mach-O Man» реализует утечку данных?
Согласно техническому анализу Mauro Eldritch, финальный модуль macrasv2 собирает учетные данные браузера, Cookie и данные macOS Keychain, затем упаковывает их и разглашает через Telegram Bot API; одновременно злоумышленники используют скрипт самоуничтожения, чтобы очистить системные следы.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
ZachXBT предупреждает против банкоматов Bitcoin Depot с наценкой на биткоин свыше 44%
ZachXBT предупреждает, что банкоматы Bitcoin Depot накладывают высокие премии — $25k фиат на $108k/BTC вместо ~$75k рыночных (около 44%), что приводит к ~ $7.5k убытка на 0.232 BTC; также отмечает взлом безопасности на $3.26M.
В этой статье подытоживаются предупреждения ZachXBT о ценовых практиках Bitcoin Depot и недавнем инциденте с безопасностью, подчеркиваются риски для пользователей из‑за завышенных ставок и сбоев в защите.
GateNews1ч назад
Протокол конфиденциальности Umbra отключил фронтенд, чтобы блокировать злоумышленников от отмывания похищенных средств Kelp
Сообщение Gate News, 22 апреля — Протокол конфиденциальности Umbra отключил свой фронтенд-сайт, чтобы не допустить, чтобы злоумышленники использовали протокол для перевода похищенных средств после недавних атак, включая компрометацию протокола Kelp, приведшую к потерям свыше $280 миллиона. Примерно $800,000 похищенных
GateNews3ч назад
Атакующий Venus Protocol перевёл 2301 ETH, поступило в Tornado Cash для отмывания
Согласно ончейн-анализу от Ai тёти 22 апреля, злоумышленник Venus Protocol за 11 часов до этого перевёл на адрес 0xa21…23A7f 2 301 ETH (примерно 5,32 млн долларов США), затем разбил средства на несколько частей и завёл их в криптовалютный миксер Tornado Cash для отмывания; на момент мониторинга злоумышленник всё ещё держит на блокчейне около 17,45 млн долларов США в ETH.
MarketWhisper6ч назад
Обнаружена нулевая уязвимость в CometBFT: узлы сети Cosmos на 8 миллиардов долларов США сталкиваются с риском полного зависания
Исследователь по безопасности Дойён Парк 21 апреля публично раскрыл, что в уровне консенсуса Cosmos CometBFT существует критическая уязвимость нулевого дня с оценкой CVSS 7.1, которая может привести к атаке вредоносными одноранговыми узлами на этапе синхронизации блоков (BlockSync) с последующей блокировкой узлов, затрагивая сеть, обеспечивающую защиту более 8 миллиардов долларов США активов.
MarketWhisper6ч назад
Северокорейская группа Lazarus выпускает новое вредоносное ПО для macOS Mach-O Man, нацеленное на криптовалюты
Резюме: Группа Lazarus выпустила нативный набор вредоносного ПО для macOS под названием Mach-O Man, предназначенный для криптоплатформ и высокопоставленных руководителей; SlowMist предупреждает пользователей проявлять осторожность в отношении атак.
Аннотация: В статье говорится, что группа Lazarus представила Mach-O Man — нативный для macOS набор вредоносного ПО, нацеленный на криптовалютные платформы и высокопоставленных руководителей. SlowMist предупреждает пользователей проявлять осторожность, чтобы снизить риск потенциальных атак.
GateNews7ч назад
