Beveiligingsonderzoekers hebben een nieuwe macOS-malwarecampagne gekoppeld aan de Lazarus Group, de aan Noord-Korea gelinkte hackoperatie die verantwoordelijk is voor enkele van de grootste diefstallen in de crypto-industrie.
De nieuwe "Mach-O Man" malwarekit, die dinsdag werd gesignaleerd, wordt verspreid via "ClickFix" social engineering-schema's binnen traditionele bedrijven en cryptobedrijven, aldus Mauro Eldritch, expert in offensieve beveiliging en oprichter van dreigingsinformatiebedrijf BCA Ltd.
Slachtoffers worden gelokt naar een nep Zoom- of Google Meet-gesprek waar ze worden aangemoedigd commando's uit te voeren die de malware op de achtergrond downloaden, waardoor aanvallers traditionele controles onopgemerkt kunnen omzeilen om toegang te krijgen tot inloggegevens en bedrijfssystemen, aldus de beveiligingsonderzoeker in een rapport van dinsdag.
Onderzoekers zeiden dat de campagne kan leiden tot accountovernames, ongeautoriseerde infrastructuurtoegang, financiële verliezen en de blootstelling van kritieke gegevens, wat onderstreept hoe Lazarus zijn doelwitten blijft uitbreiden buiten crypto-native bedrijven.
De Lazarus Group is de hoofdverdachte in enkele van de grootste cryptocurrency-hacks ooit, waaronder de $1,4 miljard hack van Bybit exchange in 2025, de grootste in de sector tot nu toe.
De laatste fase van de campagne is een stealer die is ontworpen om browseruitbreidingsgegevens, opgeslagen browser-inloggegevens, cookies, macOS Keychain-items en andere gevoelige informatie van geïnfecteerde apparaten te extraheren.
Na verzameling worden de gegevens gearchiveerd in een zip-bestand en via Telegram naar de aanvallers geëxfiltreerd. Ten slotte verwijdert het zelfvernietigingsscript van de malware de gehele kit met behulp van het rm-commando van het systeem, dat gebruikersbevestiging en -machtigingen bij het verwijderen van bestanden omzeilt.
De nieuwe malwarekit werd gereconstrueerd door de beveiligingsexpert met behulp van de macOS-analysefunctionaliteiten van Any.run's cloudgebaseerde malware sandbox.
Gerelateerd: CZ slaat alarm nu 'SEAL'-team 60 nep-IT-werknemers gelinkt aan Noord-Korea ontdekt
Eerder in april gebruikten Noord-Koreaanse hackers door AI ondersteunde social engineering-schema's om ongeveer $100.000 aan fondsen te stelen van cryptowallet Zerion, nadat ze toegang hadden verkregen tot ingelogde sessies van teamleden, inloggegevens en de privésleutels van het bedrijf, meldde Cointelegraph op 15 april.
Magazine: 53 DeFi-projecten geïnfiltreerd, 50M NEO-tokens kunnen worden 'teruggegeven': Asia Express
