Cercetătorii în securitate au legat o nouă campanie de malware pentru macOS de Grupul Lazarus, operațiunea de hacking legată de Coreea de Nord, responsabilă pentru unele dintre cele mai mari furturi din industria cripto.
Semnalat marți, noul kit de malware „Mach-O Man” este distribuit prin scheme de inginerie socială „ClickFix” atât în afacerile tradiționale, cât și în companiile cripto, potrivit lui Mauro Eldritch, expert în securitate ofensivă și fondator al companiei de informații despre amenințări BCA Ltd.
Victimele sunt ademenite într-un apel fals pe Zoom sau Google Meet, unde sunt solicitate să execute comenzi care descarcă malware-ul în fundal, permițând atacatorilor să ocolească controalele tradiționale fără a fi detectați pentru a obține acces la credențiale și sisteme corporative, a declarat cercetătorul în securitate într-un raport de marți.
Cercetătorii au spus că această campanie poate duce la preluări de conturi, acces neautorizat la infrastructură, pierderi financiare și expunerea datelor critice, subliniind modul în care Lazarus continuă să își extindă țintirea dincolo de companiile native cripto.
Grupul Lazarus este principalul suspect în unele dintre cele mai mari hack-uri de criptomonede din toate timpurile, inclusiv furtul de 1,4 miliarde de dolari de la bursa Bybit în 2025, cel mai mare din industrie până în prezent.
Etapa finală a campaniei este un program de tip „stealer” conceput pentru a extrage date de la extensiile de browser, credențiale de browser stocate, cookie-uri, intrări din macOS Keychain și alte informații sensibile de pe dispozitivele infectate.
După colectare, datele sunt arhivate într-un fișier zip și exfiltrate prin Telegram către atacatori. În cele din urmă, scriptul de auto-ștergere al malware-ului elimină întregul kit folosind comanda rm a sistemului, care ocolește confirmarea și permisiunile utilizatorului la ștergerea fișierelor.
Noul kit de malware a fost reconstituit de expertul în securitate prin capacitățile de analiză macOS ale sandbox-ului de malware bazat pe cloud Any.run.
Legat: CZ trage un semnal de alarmă pe măsură ce echipa „SEAL” descoperă 60 de falși angajați IT legați de Coreea de Nord
La începutul lunii aprilie, hackerii nord-coreeni au folosit scheme de inginerie socială bazate pe inteligență artificială pentru a fura aproximativ 100.000 de dolari din fonduri de la portofelul cripto Zerion, după ce au obținut acces la sesiunile autentificate ale unor membri ai echipei, la credențiale și la cheile private ale companiei, a raportat Cointelegraph pe 15 aprilie.
Revistă: 53 de proiecte DeFi infiltrate, 50M de tokenuri NEO ar putea fi „returnate”: Asia Express
