بر اساس گزارش شرکت امنیت بلاکچین CertiK، گروه لازاروس کره شمالی یک کمپین بدافزاری جدید macOS به نام Mach-O Man را راه‌اندازی کرده است که از دعوت‌نامه‌های جعلی جلسات آنلاین برای فریب دادن مدیران ارشد کریپتو و فین‌تک جهت اجرای دستورات مخرب بر روی دستگاه‌های خود استفاده می‌کند.

به گفته ناتالی نیوسون، محقق ارشد امنیت بلاکچین در CertiK، گروه لازاروس کره شمالی در حال اجرای یک کمپین جدید به نام Mach-O Man است که مدیران ارشد شرکت‌های کریپتو، فین‌تک و سایر شرکت‌های با ارزش بالا را با پنهان کردن ارسال بدافزار در قالب یک رفع اشکال فنی معمول در طول یک جلسه کاری جعلی، هدف قرار می‌دهد. این کمپین در ۲۲ آوریل فاش شد و یکی از پیچیده‌ترین روش‌های مهندسی اجتماعی گروه از نظر عملیاتی تا به امروز است.

حملات کریپتو گروه لازاروس در پشت مکاتبات تجاری معمولی پنهان می‌شود

زنجیره حمله با یک دعوت‌نامه جلسه با ظاهر اضطراری آغاز می‌شود که از طریق تلگرام ارسال شده و وانمود می‌کند یک تماس Zoom، Microsoft Teams یا Google Meet است. لینک به یک وب‌سایت متقاعدکننده اما جعلی هدایت می‌کند که به قربانی می‌گوید یک دستور واحد را در ترمینال مک خود کپی کند تا یک مشکل اتصال ظاهری را رفع کند؛ تکنیکی که CertiK آن را ClickFix می‌نامد. پس از اجرا، این دستور یک کیت بدافزاری ماژولار نصب می‌کند که از باینری‌های بومی Mach-O و مخصوص محیط‌های اپل ساخته شده است، که میزبان را شناسایی می‌کند، پایداری خود را تثبیت می‌کند و اطلاعات کاربری و داده‌های مرورگر را از طریق یک کانال فرمان و کنترل مبتنی بر تلگرام استخراج می‌کند. نکته مهم این است که این ابزار پس از اتمام کار خودکار حذف می‌شود و شناسایی و تجزیه و تحلیل پزشکی قانونی را بسیار دشوار می‌کند. نیوسون از CertiK به CoinDesk گفت: "این مراحل تأیید جعلی قربانیان را از طریق میانبرهای صفحه کلید که یک دستور مضر را اجرا می‌کنند، هدایت می‌کنند. صفحه واقعی به نظر می‌رسد، دستورالعمل‌ها عادی به نظر می‌رسند و قربانی خودش اقدام را آغاز می‌کند، به همین دلیل کنترل‌های امنیتی سنتی اغلب آن را نادیده می‌گیرند."

چرا این حمله دشوارتر از فیشینگ استاندارد قابل شناسایی است؟

برخلاف حملات فیشینگ سنتی که به نشانه‌های اضطراری یا آدرس‌های فرستنده مشکوک متکی هستند، کمپین Mach-O Man به گونه‌ای طراحی شده است که در لحظه تحویل کاملاً معمولی به نظر برسد. مدیران ارشد در حوزه کریپتو و فین‌تک به طور معمول درخواست‌های ارتباط از سوی سرمایه‌گذاران، محققان و شرکای تجاری دریافت می‌کنند که فرمت دعوت‌نامه جلسه جعلی را به یک طعمه باورپذیر تبدیل می‌کند، به شکلی که فیشینگ عمومی اغلب اینگونه نیست. تحلیل CertiK نشان می‌دهد که چارچوب Mach-O Man با واحد Famous Chollima لازاروس مرتبط است و از طریق حساب‌های تلگرام به خطر افتاده توزیع می‌شود که به طور خاص سازمان‌های با ارزش بالا در فضای دارایی‌های دیجیتال را هدف قرار می‌دهد. اکثر قربانیان تا مدت‌ها پس از حذف بدافزار متوجه نفوذ نخواهند شد. نیوسون گفت: "آنها احتمالاً هنوز نمی‌دانند. اگر هم بدانند، احتمالاً نمی‌توانند تشخیص دهند که کدام نوع (بدافزار) آنها را تحت تأثیر قرار داده است."

مقیاس تهدید لازاروس برای کریپتو در سال ۲۰۲۶

CertiK کمپین Mach-O Man را به یک حمله گسترده‌تر لازاروس مرتبط دانسته است که بیش از ۵۰۰ میلیون دلار از پلتفرم‌های دیفای Drift و KelpDAO را در کمتر از دو هفته به سرقت برده است، که به مجموع سرقت‌های انباشته شده تخمین زده شده ۶.۷ میلیارد دلار از سال ۲۰۱۷ اضافه می‌کند. سازمان ملل قبلاً تخمین زده است که هکرهای کره شمالی چندین میلیارد دلار دارایی دیجیتال را برای تأمین مالی برنامه‌های تسلیحاتی این کشور به سرقت برده‌اند. نیوسون گفت: "آنچه لازاروس را در حال حاضر به ویژه خطرناک می‌کند، سطح فعالیت آنهاست. این یک هک تصادفی نیست. این یک عملیات مالی تحت هدایت دولت است که با مقیاس و سرعتی که مختص مؤسسات است، اجرا می‌شود." CertiK به متخصصان کریپتو توصیه می‌کند که تمام درخواست‌های جلسه را به طور مستقل از طریق یک کانال جداگانه تأیید کنند، قبل از کلیک بر روی هر لینک یا دانلود هر پیوستی از یک دعوت‌نامه ناخواسته.

CertiK شاخص‌های نفوذ مرتبط با کمپین Mach-O Man را با جامعه گسترده‌تر امنیت به اشتراک گذاشته است تا از تلاش‌های شناسایی و دفاع در سراسر صنعت حمایت کند.