أطلقت مجموعة لازاروس الكورية الشمالية حملة برمجيات خبيثة جديدة لنظام macOS تسمى Mach-O Man، تستخدم دعوات اجتماعات وهمية عبر الإنترنت لخداع المسؤولين التنفيذيين في قطاعي العملات المشفرة والتكنولوجيا المالية لدفعهم إلى تنفيذ أوامر ضارة على أجهزتهم الخاصة، وفقًا لشركة CertiK لأمن البلوك تشين.
تدير مجموعة لازاروس الكورية الشمالية حملة جديدة أُطلق عليها اسم Mach-O Man تستهدف المسؤولين التنفيذيين في شركات العملات المشفرة والتكنولوجيا المالية وغيرها من الشركات ذات القيمة العالية، وذلك عن طريق إخفاء تسليم البرمجيات الخبيثة في شكل إصلاح تقني روتيني أثناء اجتماع عمل وهمي، وفقًا لناتالي نيوسون، باحثة أمن البلوك تشين البارزة في CertiK. تم الكشف عن الحملة في 22 أبريل وتمثل إحدى أكثر أساليب الهندسة الاجتماعية تعقيدًا من الناحية التشغيلية للمجموعة حتى الآن.
تبدأ سلسلة الهجوم بدعوة اجتماع تبدو عاجلة مرسلة عبر تيليجرام، تنتحل صفة مكالمة Zoom أو Microsoft Teams أو Google Meet. يقود الرابط إلى موقع ويب مقنع ولكنه مزيف يطلب من الضحية لصق أمر واحد في طرفية جهاز Mac الخاص به لحل مشكلة اتصال واضحة، وهي تقنية تسميها CertiK بـ ClickFix. بمجرد التنفيذ، يقوم الأمر بتثبيت مجموعة برمجيات خبيثة معيارية مبنية من ملفات ثنائية Mach-O أصلية ومصممة خصيصًا لبيئات Apple، والتي تجمع معلومات عن الجهاز المضيف، وتحقق الثبات، وتسرب بيانات الاعتماد وبيانات المتصفح عبر قناة قيادة وتحكم تعتمد على تيليجرام. الأهم من ذلك، أن مجموعة الأدوات تحذف نفسها تلقائيًا بعد إكمال مهمتها، مما يجعل الاكتشاف والتحليل الجنائي الرقمي صعبين للغاية. صرحت نيوسون من CertiK لموقع CoinDesk: "توجّه خطوات التحقق المزيفة هذه الضحايا عبر اختصارات لوحة المفاتيح التي تشغل أمرًا ضارًا. تبدو الصفحة حقيقية، وتبدو التعليمات عادية، ويقوم الضحية بتنفيذ الإجراء بنفسه، ولهذا السبب غالبًا ما تفوتها الضوابط الأمنية التقليدية."
على عكس هجمات التصيد الاحتيالي التقليدية التي تعتمد على إشارات الاستعجال أو عناوين البريد الإلكتروني المشبوهة، صُممت حملة Mach-O Man لتبدو روتينية تمامًا لحظة التسليم. يتلقى المسؤولون التنفيذيون في قطاعي العملات المشفرة والتكنولوجيا المالية بشكل روتيني طلبات تواصل غير متوقعة من المستثمرين والباحثين وشركاء الأعمال، مما يجعل تنسيق دعوة الاجتماع الوهمية إغراءً موثوقًا به بطريقة لا يكون فيها التصيد الاحتيالي العام غالبًا كذلك. يشير تحليل CertiK إلى أن إطار عمل Mach-O Man مرتبط بوحدة Famous Chollima التابعة لمجموعة لازاروس ويتم توزيعه عبر حسابات تيليجرام مخترقة تستهدف على وجه التحديد المنظمات عالية القيمة في مجال الأصول الرقمية. لن يدرك معظم الضحايا أنهم قد تعرضوا للاختراق إلا بعد فترة طويلة من قيام البرمجيات الخبيثة بمسح نفسها. قالت نيوسون: "من المحتمل أنهم لا يعلمون ذلك بعد. وإذا علموا، فربما لا يمكنهم تحديد أي سلالة أثرت عليهم."
ربطت CertiK حملة Mach-O Man بهجوم أوسع نطاقًا شنته لازاروس، والذي سحب أكثر من 500 مليون دولار من منصتي التمويل اللامركزي (DeFi) Drift و KelpDAO في أقل من أسبوعين، مما يضيف إلى إجمالي السرقات التراكمي المقدر بـ 6.7 مليار دولار منذ عام 2017. قدرت الأمم المتحدة في السابق أن المتسللين الكوريين الشماليين سرقوا عدة مليارات من الدولارات من الأصول الرقمية لتمويل برامج الأسلحة في البلاد. قالت نيوسون: "ما يجعل لازاروس خطيرة بشكل خاص الآن هو مستوى نشاطهم. هذا ليس قرصنة عشوائية. إنها عملية مالية موجهة من الدولة وتعمل على نطاق وسرعة نموذجيين للمؤسسات." تنصح CertiK محترفي العملات المشفرة بالتحقق بشكل مستقل من جميع طلبات الاجتماعات عبر قناة منفصلة قبل النقر على أي رابط أو تنزيل أي مرفق من دعوة غير مرغوب فيها.
شاركت CertiK مؤشرات الاختراق المرتبطة بحملة Mach-O Man مع مجتمع الأمن الأوسع لدعم جهود الكشف والدفاع عبر الصناعة.
