O Lazarus Group, da Coreia do Norte, lançou uma nova campanha de malware para macOS chamada Mach-O Man que usa convites falsos para reuniões online para enganar executivos de cripto e fintech, fazendo-os executar comandos maliciosos em seus próprios dispositivos, de acordo com a empresa de segurança blockchain CertiK.
O Lazarus Group, da Coreia do Norte, está executando uma nova campanha apelidada de Mach-O Man que tem como alvo executivos de empresas de cripto, fintech e outras de alto valor, disfarçando a entrega de malware como uma correção técnica rotineira durante uma reunião de negócios falsa, de acordo com Natalie Newson, pesquisadora sênior de segurança blockchain da CertiK. A campanha foi divulgada em 22 de abril e representa um dos métodos de engenharia social mais operacionalmente sofisticados do grupo até o momento.
A cadeia de ataque começa com um convite de reunião com aparência urgente enviado via Telegram, impersonando uma chamada Zoom, Microsoft Teams ou Google Meet. O link leva a um site convincente, mas falso, que instrui a vítima a colar um único comando em seu terminal Mac para resolver um aparente problema de conexão, uma técnica que a CertiK identifica como ClickFix. Uma vez executado, o comando instala um kit de malware modular construído a partir de binários Mach-O nativos adaptados para ambientes Apple, que perfila o host, estabelece persistência e exfiltra credenciais e dados de navegador através de um canal de comando e controle baseado no Telegram. Crucialmente, o kit de ferramentas se autoexclui após concluir sua tarefa, tornando a detecção e a análise forense extremamente difíceis. “Essas etapas de verificação falsas guiam as vítimas através de atalhos de teclado que executam um comando prejudicial,” disse Newson da CertiK ao CoinDesk. “A página parece real, as instruções parecem normais e a vítima inicia a ação por conta própria, razão pela qual os controles de segurança tradicionais frequentemente não a detectam.”
Ao contrário dos ataques de phishing tradicionais que dependem de sinais de urgência ou endereços de remetente suspeitos, a campanha Mach-O Man é projetada para parecer inteiramente rotineira no momento da entrega. Executivos em cripto e fintech rotineiramente recebem abordagens de investidores, pesquisadores e parceiros de negócios, tornando o formato de convite de reunião falso um atrativo credível de uma forma que o phishing generalizado muitas vezes não é. A análise da CertiK observa que o framework Mach-O Man está ligado à unidade Famous Chollima do Lazarus e é distribuído através de contas comprometidas do Telegram, visando especificamente organizações de alto valor no espaço de ativos digitais. A maioria das vítimas não perceberá que foram comprometidas até bem depois que o malware se autoexcluir. “Eles provavelmente ainda não sabem,” disse Newson. “Se souberem, provavelmente não conseguirão identificar qual variante os afetou.”
A CertiK vinculou a campanha Mach-O Man a uma ofensiva mais ampla do Lazarus que desviou mais de US$ 500 milhões das plataformas DeFi Drift e KelpDAO em menos de duas semanas, somando-se a um total cumulativo de roubos estimado em US$ 6,7 bilhões desde 2017. As Nações Unidas estimaram anteriormente que hackers norte-coreanos roubaram vários bilhões de dólares em ativos digitais para financiar os programas de armas do país. “O que torna o Lazarus especialmente perigoso agora é o seu nível de atividade,” disse Newson. “Isso não é hacking aleatório. É uma operação financeira dirigida pelo Estado, operando em uma escala e velocidade típicas de instituições.” A CertiK está aconselhando profissionais de cripto a verificar independentemente todos os pedidos de reunião através de um canal separado antes de clicar em qualquer link ou baixar qualquer anexo de um convite não solicitado.
A CertiK compartilhou indicadores de comprometimento relacionados à campanha Mach-O Man com a comunidade de segurança mais ampla para apoiar os esforços de detecção e defesa em toda a indústria.
