De Noord-Koreaanse Lazarus Group heeft een nieuwe macOS-malwarecampagne gelanceerd, genaamd Mach-O Man, die nepuitnodigingen voor online vergaderingen gebruikt om crypto- en fintech-managers te misleiden om kwaadaardige commando's op hun eigen apparaten uit te voeren, aldus blockchainbeveiligingsbedrijf CertiK.
De Noord-Koreaanse Lazarus Group voert een nieuwe campagne genaamd Mach-O Man uit die zich richt op managers bij crypto-, fintech- en andere waardevolle bedrijven door de levering van malware te camoufleren als een routine technische oplossing tijdens een nep-zakelijke bijeenkomst, aldus Natalie Newson, senior blockchainbeveiligingsonderzoeker bij CertiK. De campagne werd op 22 april onthuld en vertegenwoordigt een van de meest operationeel geavanceerde social engineering-methoden van de groep tot nu toe.
De aanvalsketen begint met een urgent ogende vergaderuitnodiging die via Telegram wordt verzonden, waarbij een Zoom-, Microsoft Teams- of Google Meet-gesprek wordt nagebootst. De link leidt naar een overtuigende maar nepwebsite die het slachtoffer vertelt een enkel commando in hun Mac-terminal te plakken om een ogenschijnlijk verbindingsprobleem op te lossen, een techniek die CertiK identificeert als ClickFix. Eenmaal uitgevoerd, installeert het commando een modulaire malwaresuite, opgebouwd uit native Mach-O binaries, op maat gemaakt voor Apple-omgevingen, die de host profileert, persistentie bewerkstelligt en inloggegevens en browsergegevens exfiltreert via een op Telegram gebaseerd command-and-control-kanaal. Cruciaal is dat de toolkit zichzelf verwijdert na voltooiing van zijn taak, waardoor detectie en forensische analyse extreem moeilijk zijn. "Deze nepverificatiestappen leiden slachtoffers door toetsencombinaties die een schadelijk commando uitvoeren," vertelde Newson van CertiK aan CoinDesk. "De pagina ziet er echt uit, de instructies lijken normaal en het slachtoffer initieert de actie zelf, daarom missen traditionele beveiligingscontroles dit vaak."
In tegenstelling tot traditionele phishing-aanvallen die afhankelijk zijn van urgentie-aanwijzingen of verdachte afzenderadressen, is de Mach-O Man-campagne ontworpen om op het moment van levering volledig routineus te lijken. Leidinggevenden in crypto en fintech ontvangen routinematig ongevraagde benaderingen van investeerders, onderzoekers en zakenpartners, waardoor het formaat van de nepvergaderuitnodiging een geloofwaardige lokker is op een manier die algemene phishing vaak niet is. De analyse van CertiK merkt op dat het Mach-O Man-framework gekoppeld is aan Lazarus' Famous Chollima-eenheid en wordt verspreid via gecompromitteerde Telegram-accounts die specifiek gericht zijn op waardevolle organisaties in de digitale activaruimte. De meeste slachtoffers zullen pas ver nadat de malware zichzelf heeft gewist, beseffen dat ze zijn gecompromitteerd. "Ze weten het waarschijnlijk nog niet," zei Newson. "Als ze het wel weten, kunnen ze waarschijnlijk niet identificeren welke variant hen heeft getroffen."
CertiK heeft de Mach-O Man-campagne gekoppeld aan een bredere Lazarus-aanval die in minder dan twee weken meer dan $500 miljoen heeft onttrokken aan DeFi-platforms Drift en KelpDAO, wat bijdraagt aan een cumulatief gestolen totaal dat sinds 2017 op $6,7 miljard wordt geschat. De Verenigde Naties hebben eerder geschat dat Noord-Koreaanse hackers miljarden dollars aan digitale activa hebben gestolen om de wapenprogramma's van het land te financieren. "Wat Lazarus momenteel bijzonder gevaarlijk maakt, is hun activiteitenniveau," zei Newson. "Dit is geen willekeurig hacken. Het is een door de staat gestuurde financiële operatie die op een schaal en snelheid opereert die typerend is voor instituten." CertiK adviseert cryptoprofessionals om alle vergaderverzoeken onafhankelijk te verifiëren via een apart kanaal voordat ze op een link klikken of een bijlage downloaden van een ongevraagde uitnodiging.
CertiK heeft indicators of compromise (IoC's) met betrekking tot de Mach-O Man-campagne gedeeld met de bredere beveiligingsgemeenschap om detectie- en verdedigingsinspanningen in de hele sector te ondersteunen.
