Mengenai Peringatan yang diterbitkan pada 22 April, Kepala Keamanan Informasi Slow Fog 23pds menyatakan bahwa grup peretas Korea Utara Lazarus Group telah merilis paket alat malware asli macOS yang baru, “Mach-O Man”, yang secara khusus menargetkan industri mata uang kripto dan para eksekutif perusahaan bernilai tinggi.
Metode Serangan dan Target
Berdasarkan laporan analisis Mauro Eldritch, serangan kali ini menggunakan teknik ClickFix: pelaku mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram (dengan menggunakan akun kontak yang telah diretas), sehingga target diarahkan ke situs palsu yang meniru Zoom, Microsoft Teams, atau Google Meet, serta meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi. Operasi ini memungkinkan pelaku memperoleh hak akses ke sistem tanpa memicu kontrol keamanan tradisional.
Data target serangan mencakup: kredensial dan Cookie yang tersimpan di browser, data macOS Keychain, serta data ekstensi browser seperti Brave, Vivaldi, Opera, Chrome, Firefox, dan Safari. Data yang dicuri dibocorkan melalui Telegram Bot API; laporan menyebutkan bahwa pelaku mengekspos token bot Telegram (kesalahan OPSEC), yang melemahkan keamanan operasional tindakannya.
Target utama serangan adalah pengembang, eksekutif, dan pengambil keputusan di lingkungan bernilai tinggi yang secara luas menggunakan macOS, khususnya di industri fintech dan mata uang kripto.
Komponen Utama Paket Mach-O Man
Berdasarkan analisis teknis Mauro Eldritch, paket ini terdiri dari modul utama berikut:
teamsSDK.bin: penyuntik awal, disamarkan sebagai Teams, Zoom, Google, atau aplikasi sistem, dan menjalankan identifikasi sidik jari sistem dasar
D1{string acak}.bin: penganalisis sistem, mengumpulkan nama host, jenis CPU, informasi sistem operasi, serta daftar ekstensi browser, lalu mengirimkannya ke server C2
minst2.bin: modul persistensi, membuat direktori kamuflase “Antivirus Service” dan LaunchAgent untuk memastikan eksekusi berkelanjutan setelah setiap kali login
macrasv2: pencuri akhir, mengumpulkan kredensial browser, Cookie, dan entri macOS Keychain, lalu mengemasnya untuk dibocorkan melalui Telegram dan menghapus diri sendiri
Ringkasan Indikator Kompromi (IOC) Kunci
Berdasarkan IOC yang dipublikasikan dalam laporan Mauro Eldritch:
IP berbahaya: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Nama domain berbahaya: update-teams[.]live / livemicrosft[.]com
Dokumen kunci (sebagian): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Port komunikasi C2: 8888 dan 9999; terutama menggunakan string karakteristik User-Agent pada klien Go HTTP
Nilai hash lengkap dan matriks ATT&CK selengkapnya lihat laporan penelitian asli Mauro Eldritch.
Pertanyaan yang Sering Diajukan
Paket “Mach-O Man” menargetkan industri dan target apa?
Menurut peringatan Slow Fog 23pds dan riset BCA LTD, “Mach-O Man” terutama menargetkan industri fintech dan mata uang kripto, serta lingkungan perusahaan bernilai tinggi yang secara luas menggunakan macOS, khususnya kelompok pengembang, eksekutif, dan pengambil keputusan.
Bagaimana penyerang memancing pengguna macOS agar menjalankan perintah berbahaya?
Berdasarkan analisis Mauro Eldritch, penyerang mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram, mengarahkan pengguna ke situs palsu yang meniru Zoom, Teams, atau Google Meet, lalu meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi, sehingga memicu pemasangan malware.
Bagaimana “Mach-O Man” mewujudkan pencurian data?
Berdasarkan analisis teknis Mauro Eldritch, modul akhir macrasv2 mengumpulkan kredensial browser, Cookie, dan data macOS Keychain, lalu mengemasnya dan membocorkannya melalui Telegram Bot API; pada saat yang sama, penyerang menggunakan skrip penghapusan diri untuk membersihkan jejak sistem.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Hacker Kripto Mendorong Debat Tokenisasi Wall Street
Eksploitasi kripto berprofil tinggi menguji risiko DeFi, meskipun kecil kemungkinan menggagalkan tokenisasi; institusi lebih menyukai rantai berizin, sementara tokenisasi yang lebih luas harus berinteroperasi dengan DeFi; stablecoin menghadapi pengawasan dan kemungkinan reaksi balik regulasi.
CryptoFrontier7jam yang lalu
Volo Protocol Kehilangan $3,5M dalam Peretasan Sui, Berkomitmen Menanggung Kerugian dan Membekukan Dana Peretas
Pesan Gate News, 22 April — Volo Protocol, operator brankas hasil (yield vault) di Sui, mengumumkan kemarin (21 April) bahwa pihaknya telah mulai membekukan aset curian setelah adanya eksploit senilai $3,5 juta. Peretas menggasak WBTC, XAUm, dan USDG dari Volo Vaults, menandai pelanggaran keamanan DeFi besar terbaru dalam
GateNews11jam yang lalu
Keluarga Prancis Dipaksa Mentransfer $820K dalam Kripto Setelah Perampokan Rumah dengan Senjata
Pesan Berita Gate, 22 April — Sebuah keluarga di Ploudalmézeau, sebuah kota kecil di Brittany, Prancis, diserang oleh dua pria bersenjata berpenutup wajah pada Senin (20 April), menurut laporan dari The Block. Tiga orang dewasa diikat selama lebih dari tiga jam dan dipaksa untuk memindahkan sekitar 700.000 euro (sekitar $820.000) i
GateNews12jam yang lalu
DOJ Meluncurkan Proses Kompensasi untuk Korban Penipuan OneCoin, $40M+ Aset Hasil Pemulihan Tersedia
Pesan Berita Gate, 22 April — Departemen Kehakiman AS telah mengumumkan peluncuran proses kompensasi bagi para korban skema penipuan mata uang kripto OneCoin, dengan lebih dari $40 juta aset hasil pemulihan kini tersedia untuk didistribusikan.
Skema tersebut, yang dijalankan antara 2014 dan 2019 oleh Ruja
GateNews13jam yang lalu
Pencipta AI16Z, ELIZAOS Digugat Terkait Dugaan Penipuan $2,6 Miliar; Token Anjlok 99,9% dari Puncak
Gugatan class action federal menuduh AI16Z/ELIZAOS melakukan penipuan kripto senilai $2,6 miliar melalui klaim AI palsu dan pemasaran yang menyesatkan, dengan tuduhan adanya perlakuan istimewa dari orang dalam dan sistem otonom yang direkayasa; meminta ganti rugi berdasarkan undang-undang perlindungan konsumen.
Abstrak: Laporan ini membahas gugatan class action federal SDNY yang diajukan pada 21 April, menuduh AI16Z dan rebranding-nya ELIZAOS melakukan penipuan kripto senilai $2,6 miliar yang melibatkan klaim AI palsu dan pemasaran yang menyesatkan. Gugatan tersebut menuduh adanya hubungan yang direkayasa dengan Andreessen Horowitz dan sistem yang tidak otonom. Laporan ini merinci valuasi puncak pada awal 2025, kejatuhan 99,9%, dan sekitar 4.000 dompet yang mengalami kerugian, dengan orang dalam menerima sekitar 40% dari token baru. Para penggugat meminta ganti rugi dan bantuan ekuitas berdasarkan undang-undang perlindungan konsumen New York dan California. Regulator di Korea serta bursa-bursa besar telah memberi peringatan atau menghentikan perdagangan terkait.
GateNews15jam yang lalu
Peringatan SlowMist: Malware macOS MacSync Stealer Aktif Menarget Pengguna Kripto
SlowMist memperingatkan MacSync Stealer (v1.1.2) untuk macOS yang mencuri dompet, kredensial, keychain, dan kunci infrastruktur, dengan menggunakan prompt AppleScript yang dipalsukan dan error palsu bertanda "unsupported"; mendesak kehati-hatian dan kewaspadaan terhadap IOCs.
Abstrak: Laporan ini merangkum peringatan SlowMist tentang MacSync Stealer (v1.1.2), pencuri informasi macOS yang menargetkan dompet cryptocurrency, kredensial browser, keychain sistem, dan kunci infrastruktur (SSH, AWS, Kubernetes). Ia menipu pengguna dengan dialog AppleScript palsu yang meminta kata sandi dan menampilkan pesan palsu "unsupported" yang terlihat. SlowMist menyediakan IOCs kepada pelanggan dan menyarankan untuk menghindari skrip macOS yang tidak terverifikasi serta tetap waspada terhadap prompt kata sandi yang tidak biasa.
GateNews15jam yang lalu
