Le groupe nord-coréen Lazarus a lancé une nouvelle campagne de logiciels malveillants macOS appelée Mach-O Man, qui utilise de fausses invitations à des réunions en ligne pour inciter les cadres de la cryptographie et de la fintech à exécuter des commandes malveillantes sur leurs propres appareils, selon la société de sécurité blockchain CertiK.
Le groupe nord-coréen Lazarus mène une nouvelle campagne baptisée Mach-O Man qui cible les cadres des entreprises de cryptographie, de fintech et d'autres entreprises de grande valeur en déguisant la livraison de logiciels malveillants en une correction technique de routine lors d'une fausse réunion d'affaires, selon Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK. La campagne a été dévoilée le 22 avril et représente l'une des méthodes d'ingénierie sociale les plus sophistiquées du groupe à ce jour.
La chaîne d'attaque commence par une invitation à une réunion d'apparence urgente envoyée via Telegram, usurpant un appel Zoom, Microsoft Teams ou Google Meet. Le lien mène à un site web convaincant mais faux qui indique à la victime de coller une seule commande dans son terminal Mac pour résoudre un problème de connexion apparent, une technique que CertiK identifie comme ClickFix. Une fois exécutée, la commande installe un kit de logiciels malveillants modulaire construit à partir de binaires Mach-O natifs adaptés aux environnements Apple, qui profile l'hôte, établit une persistance et exfiltre les identifiants et les données du navigateur via un canal de commande et de contrôle basé sur Telegram. De manière critique, le kit d'outils s'auto-supprime après avoir terminé sa tâche, rendant la détection et l'analyse forensique extrêmement difficiles. « Ces fausses étapes de vérification guident les victimes à travers des raccourcis clavier qui exécutent une commande nuisible », a déclaré Newson de CertiK à CoinDesk. « La page semble réelle, les instructions semblent normales et la victime initie l'action elle-même, c'est pourquoi les contrôles de sécurité traditionnels la manquent souvent. »
Contrairement aux attaques de phishing traditionnelles qui reposent sur des indices d'urgence ou des adresses d'expéditeur suspectes, la campagne Mach-O Man est conçue pour paraître entièrement routinière au moment de la livraison. Les cadres de la cryptographie et de la fintech reçoivent régulièrement des démarchages à froid d'investisseurs, de chercheurs et de partenaires commerciaux, ce qui rend le format de la fausse invitation à une réunion un leurre crédible d'une manière que le phishing généralisé ne l'est souvent pas. L'analyse de CertiK note que le cadre Mach-O Man est lié à l'unité Famous Chollima de Lazarus et distribué via des comptes Telegram compromis ciblant spécifiquement les organisations de grande valeur dans l'espace des actifs numériques. La plupart des victimes ne se rendront pas compte qu'elles ont été compromises bien après que le logiciel malveillant se soit effacé. « Ils ne le savent probablement pas encore », a déclaré Newson. « S'ils le savent, ils ne peuvent probablement pas identifier la variante qui les a affectés. »
CertiK a lié la campagne Mach-O Man à une offensive plus large de Lazarus qui a siphonné plus de 500 millions de dollars des plateformes DeFi Drift et KelpDAO en moins de deux semaines, ajoutant à un total cumulé de vols estimé à 6,7 milliards de dollars depuis 2017. Les Nations Unies ont précédemment estimé que les hackers nord-coréens avaient volé plusieurs milliards de dollars en actifs numériques pour financer les programmes d'armement du pays. « Ce qui rend Lazarus particulièrement dangereux en ce moment, c'est son niveau d'activité », a déclaré Newson. « Il ne s'agit pas d'un piratage aléatoire. C'est une opération financière dirigée par l'État qui fonctionne à une échelle et à une vitesse typiques des institutions. » CertiK conseille aux professionnels de la cryptographie de vérifier indépendamment toutes les demandes de réunion via un canal distinct avant de cliquer sur un lien ou de télécharger une pièce jointe à partir d'une invitation non sollicitée.
CertiK a partagé les indicateurs de compromission liés à la campagne Mach-O Man avec la communauté de sécurité au sens large pour soutenir les efforts de détection et de défense à travers l'industrie.
