Nordkoreas Lazarus Group hat eine neue macOS-Malware-Kampagne namens Mach-O Man gestartet, die gefälschte Online-Meeting-Einladungen nutzt, um Führungskräfte aus dem Krypto- und Fintech-Bereich dazu zu bringen, bösartige Befehle auf ihren eigenen Geräten auszuführen, so das Blockchain-Sicherheitsunternehmen CertiK.
Die Lazarus Group aus Nordkorea führt eine neue Kampagne namens Mach-O Man durch, die sich an Führungskräfte in Krypto-, Fintech- und anderen hochwertigen Unternehmen richtet, indem sie die Malware-Bereitstellung als routinemäßige technische Fehlerbehebung während eines gefälschten Geschäftstreffens tarnt, so Natalie Newson, Senior Blockchain Security Researcher bei CertiK. Die Kampagne wurde am 22. April bekannt gegeben und stellt eine der bisher operativ raffiniertesten Social-Engineering-Methoden der Gruppe dar.
Die Angriffskette beginnt mit einer dringend aussehenden Besprechungseinladung, die über Telegram verschickt wird und einen Zoom-, Microsoft Teams- oder Google Meet-Anruf imitiert. Der Link führt zu einer überzeugenden, aber gefälschten Website, die das Opfer anweist, einen einzigen Befehl in sein Mac-Terminal einzufügen, um ein scheinbares Verbindungsproblem zu lösen – eine Technik, die CertiK als ClickFix bezeichnet. Nach der Ausführung installiert der Befehl ein modulares Malware-Kit, das aus nativen Mach-O-Binärdateien besteht, die auf Apple-Umgebungen zugeschnitten sind. Dieses profiliert den Host, etabliert Persistenz und exfiltriert Anmeldeinformationen sowie Browserdaten über einen Telegram-basierten Command-and-Control-Kanal. Entscheidend ist, dass sich das Toolkit nach Abschluss seiner Aufgabe automatisch löscht, was die Erkennung und forensische Analyse extrem erschwert. „Diese gefälschten Verifizierungsschritte führen die Opfer durch Tastenkombinationen, die einen schädlichen Befehl ausführen“, sagte Newson von CertiK gegenüber CoinDesk. „Die Seite sieht echt aus, die Anweisungen wirken normal, und das Opfer leitet die Aktion selbst ein, weshalb traditionelle Sicherheitskontrollen sie oft übersehen.“
Im Gegensatz zu traditionellen Phishing-Angriffen, die auf Dringlichkeitssignale oder verdächtige Absenderadressen setzen, ist die Mach-O Man-Kampagne so konzipiert, dass sie zum Zeitpunkt der Zustellung völlig routinemäßig aussieht. Führungskräfte im Krypto- und Fintech-Bereich erhalten routinemäßig unerwartete Anfragen von Investoren, Forschern und Geschäftspartnern, was das gefälschte Meeting-Einladungsformat zu einem glaubwürdigen Köder macht, wie es bei allgemeinerem Phishing oft nicht der Fall ist. Die Analyse von CertiK weist darauf hin, dass das Mach-O Man-Framework mit der Lazarus-Einheit Famous Chollima verbunden ist und über kompromittierte Telegram-Konten verbreitet wird, die gezielt auf hochwertige Organisationen im Bereich digitaler Assets abzielen. Die meisten Opfer werden erst lange nach der Selbstlöschung der Malware feststellen, dass sie kompromittiert wurden. „Sie wissen es wahrscheinlich noch nicht“, sagte Newson. „Wenn doch, können sie wahrscheinlich nicht identifizieren, welche Variante sie betroffen hat.“
CertiK hat die Mach-O Man-Kampagne mit einer umfassenderen Lazarus-Offensive in Verbindung gebracht, die in weniger als zwei Wochen über 500 Millionen US-Dollar von den DeFi-Plattformen Drift und KelpDAO abgezogen hat, was die kumulierte Gesamtsumme der seit 2017 gestohlenen Gelder auf schätzungsweise 6,7 Milliarden US-Dollar erhöht. Die Vereinten Nationen haben zuvor geschätzt, dass nordkoreanische Hacker mehrere Milliarden Dollar an digitalen Assets gestohlen haben, um die Waffenprogramme des Landes zu finanzieren. „Was Lazarus im Moment besonders gefährlich macht, ist ihr Aktivitätsniveau“, sagte Newson. „Das ist kein zufälliges Hacking. Es ist eine staatlich gelenkte Finanzoperation, die in einem für Institutionen typischen Umfang und Tempo abläuft.“ CertiK rät Krypto-Experten, alle Besprechungsanfragen über einen separaten Kanal unabhängig zu überprüfen, bevor sie auf einen Link klicken oder einen Anhang von einer unerwünschten Einladung herunterladen.
CertiK hat Indicators of Compromise (IoCs) im Zusammenhang mit der Mach-O Man-Kampagne mit der breiteren Sicherheitsgemeinschaft geteilt, um die Erkennungs- und Abwehrmaßnahmen in der gesamten Branche zu unterstützen.
