ربط باحثو الأمن حملة برامج ضارة جديدة تستهدف نظام macOS بمجموعة لازاروس، وهي عملية القرصنة المرتبطة بكوريا الشمالية والتي تقف وراء بعض أكبر سرقات صناعة العملات المشفرة.
تم الإبلاغ يوم الثلاثاء عن مجموعة البرامج الضارة الجديدة "Mach-O Man"، والتي يتم توزيعها عبر مخططات الهندسة الاجتماعية "ClickFix" في الشركات التقليدية وشركات العملات المشفرة، وفقًا لماورو إلدرتش، خبير الأمن الهجومي ومؤسس شركة BCA Ltd. للاستخبارات المتعلقة بالتهديدات.
يتم استدراج الضحايا إلى مكالمة Zoom أو Google Meet وهمية حيث يُطلب منهم تنفيذ أوامر تقوم بتنزيل البرامج الضارة في الخلفية، مما يسمح للمهاجمين بتجاوز الضوابط التقليدية دون اكتشاف للحصول على بيانات الاعتماد وأنظمة الشركات، حسبما قال الباحث الأمني في تقرير يوم الثلاثاء.
قال الباحثون إن الحملة يمكن أن تؤدي إلى الاستيلاء على الحسابات، والوصول غير المصرح به للبنية التحتية، وخسائر مالية، وتعريض البيانات الحيوية للخطر، مما يؤكد كيف تواصل لازاروس توسيع استهدافها إلى ما وراء شركات العملات المشفرة الأصلية.
مجموعة لازاروس هي المشتبه به الرئيسي في بعض من أكبر عمليات اختراق العملات المشفرة على الإطلاق، بما في ذلك اختراق بورصة Bybit بقيمة 1.4 مليار دولار في عام 2025، وهو الأكبر في الصناعة حتى الآن.
المرحلة النهائية للحملة هي برنامج سارق (stealer) مصمم لاستخراج بيانات ملحقات المتصفح، وبيانات اعتماد المتصفح المخزنة، وملفات تعريف الارتباط (cookies)، وإدخالات سلسلة مفاتيح macOS، وغيرها من المعلومات الحساسة من الأجهزة المصابة.
بعد جمع البيانات، يتم أرشفة البيانات في ملف مضغوط (zip) ويتم تسريبها عبر تيليجرام إلى المهاجمين. أخيرًا، يقوم نص الحذف الذاتي للبرنامج الضار بإزالة المجموعة بأكملها باستخدام أمر "rm" الخاص بالنظام، والذي يتجاوز تأكيد المستخدم والأذونات عند إزالة الملفات.
تم إعادة بناء مجموعة البرامج الضارة الجديدة بواسطة خبير الأمن من خلال إمكانيات تحليل macOS لبرنامج Any.run الذي يعتمد على السحابة لفحص البرامج الضارة (sandbox).
ذات صلة: CZ يدق ناقوس الخطر بعد أن كشف فريق "SEAL" عن 60 عاملاً مزيفًا في مجال تكنولوجيا المعلومات مرتبطين بكوريا الشمالية
في وقت سابق من أبريل، استخدم قراصنة كوريون شماليون مخططات هندسة اجتماعية مدعومة بالذكاء الاصطناعي لسرقة حوالي 100,000 دولار من الأموال من محفظة العملات المشفرة Zerion، بعد الحصول على وصول إلى جلسات بعض أعضاء الفريق المسجلة، وبيانات الاعتماد، والمفاتيح الخاصة للشركة، حسبما أفادت Cointelegraph في 15 أبريل.
مجلة: تم اختراق 53 مشروعًا في مجال التمويل اللامركزي (DeFi)، و50 مليون رمز NEO قد "تُسترد": Asia Express
