Lazarus Group Korea Utara telah meluncurkan kampanye malware macOS baru yang disebut Mach-O Man yang menggunakan undangan rapat online palsu untuk menipu eksekutif kripto dan fintech agar menjalankan perintah berbahaya di perangkat mereka sendiri, menurut perusahaan keamanan blockchain CertiK.
Lazarus Group Korea Utara sedang menjalankan kampanye baru yang dijuluki Mach-O Man yang menargetkan eksekutif di perusahaan kripto, fintech, dan perusahaan bernilai tinggi lainnya dengan menyamarkan pengiriman malware sebagai perbaikan teknis rutin selama rapat bisnis palsu, menurut peneliti keamanan blockchain senior CertiK, Natalie Newson. Kampanye ini diungkap pada 22 April dan merupakan salah satu metode rekayasa sosial paling canggih secara operasional yang dilakukan kelompok tersebut hingga saat ini.
Rantai serangan dimulai dengan undangan rapat yang tampak mendesak yang dikirim melalui Telegram, menyamar sebagai panggilan Zoom, Microsoft Teams, atau Google Meet. Tautan tersebut mengarah ke situs web yang meyakinkan tetapi palsu yang meminta korban untuk menempelkan satu perintah ke terminal Mac mereka untuk menyelesaikan masalah koneksi yang tampak, sebuah teknik yang diidentifikasi CertiK sebagai ClickFix. Setelah dieksekusi, perintah tersebut menginstal kit malware modular yang dibangun dari biner Mach-O asli yang disesuaikan untuk lingkungan Apple, yang memprofilkan host, membangun persistensi, dan mengeksfiltrasi kredensial serta data browser melalui saluran perintah dan kontrol berbasis Telegram. Yang terpenting, toolkit ini menghapus diri secara otomatis setelah menyelesaikan tugasnya, membuat deteksi dan analisis forensik sangat sulit. "Langkah-langkah verifikasi palsu ini memandu korban melalui pintasan keyboard yang menjalankan perintah berbahaya," kata Newson dari CertiK kepada CoinDesk. "Halaman itu terlihat nyata, instruksinya tampak normal, dan korban memulai tindakan itu sendiri, itulah sebabnya kontrol keamanan tradisional sering melewatkannya."
Tidak seperti serangan phishing tradisional yang mengandalkan petunjuk urgensi atau alamat pengirim yang mencurigakan, kampanye Mach-O Man dirancang agar terlihat sepenuhnya rutin pada saat pengiriman. Eksekutif di bidang kripto dan fintech secara rutin menerima jangkauan dingin dari investor, peneliti, dan mitra bisnis, menjadikan format undangan rapat palsu sebagai umpan yang kredibel dengan cara yang seringkali tidak dapat dicapai oleh phishing umum. Analisis CertiK mencatat bahwa kerangka Mach-O Man terkait dengan unit Famous Chollima Lazarus dan didistribusikan melalui akun Telegram yang disusupi yang secara khusus menargetkan organisasi bernilai tinggi di ruang aset digital. Sebagian besar korban tidak akan menyadari bahwa mereka telah disusupi sampai setelah malware menghapus dirinya sendiri. "Mereka kemungkinan belum mengetahuinya," kata Newson. "Jika mereka tahu, mereka mungkin tidak dapat mengidentifikasi varian mana yang memengaruhi mereka."
CertiK telah mengaitkan kampanye Mach-O Man dengan serangan Lazarus yang lebih luas yang telah menyedot lebih dari $500 juta dari platform DeFi Drift dan KelpDAO dalam waktu kurang dari dua minggu, menambah total pencurian kumulatif yang diperkirakan mencapai $6,7 miliar sejak 2017. Perserikatan Bangsa-Bangsa sebelumnya memperkirakan bahwa peretas Korea Utara telah mencuri beberapa miliar dolar aset digital untuk mendanai program senjata negara tersebut. "Yang membuat Lazarus sangat berbahaya saat ini adalah tingkat aktivitas mereka," kata Newson. "Ini bukan peretasan acak. Ini adalah operasi keuangan yang diarahkan oleh negara yang berjalan pada skala dan kecepatan yang khas institusi." CertiK menyarankan para profesional kripto untuk memverifikasi secara independen semua permintaan rapat melalui saluran terpisah sebelum mengklik tautan apa pun atau mengunduh lampiran apa pun dari undangan yang tidak diminta.
CertiK telah membagikan indikator kompromi yang terkait dengan kampanye Mach-O Man kepada komunitas keamanan yang lebih luas untuk mendukung upaya deteksi dan pertahanan di seluruh industri.
