Компания Mandiant 首席 специалист по кибербезопасности 23pds 22 апреля опубликовала предупреждение о том, что северокорейская хакерская группа Lazarus Group выпустила новый нативный набор инструментов вредоносного ПО для macOS «Mach-O Man», предназначенный специально для индустрии криптовалют и руководителей компаний с высокой ценностью.
Методы атаки и цели
Согласно аналитическому отчету Mauro Eldritch, в этот раз атака использует технику ClickFix: злоумышленники рассылают через Telegram (с использованием аккаунта контакта, который был скомпрометирован) ссылки, замаскированные под приглашения на легитимные встречи, чтобы направить цель на фальшивые веб-сайты, имитирующие Zoom, Microsoft Teams или Google Meet, а затем предлагают пользователям выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением. Это позволяет злоумышленникам получить доступ к системе, не срабатывая на традиционные механизмы безопасности.
Данные, на которые нацелена атака, включают: учетные данные и Cookie, сохраненные в браузере, данные macOS Keychain, а также данные расширений браузеров, таких как Brave, Vivaldi, Opera, Chrome, Firefox и Safari. Украденные данные разглашаются через Telegram Bot API; в отчете отмечается, что злоумышленники раскрыли токен Telegram-бота (ошибка в OPSEC), что ослабило их ситуационную безопасность действий.
Основными жертвами являются разработчики, руководители и лица, принимающие решения, работающие в средах компаний с высокой ценностью, включая финтех и индустрию криптовалют, а также экосистемы, где macOS широко используется.
Основные компоненты набора инструментов Mach-O Man
Согласно техническому анализу Mauro Eldritch, набор инструментов состоит из следующих ключевых модулей:
teamsSDK.bin: первичный загрузчик, маскируется под Teams, Zoom, Google или системное приложение, выполняет базовое определение системной «отпечаточности» (fingerprint)
D1{случайная строка}.bin: анализатор системы, собирает имя хоста, тип CPU, сведения об операционной системе и список расширений браузера, после чего отправляет их на C2-сервер
minst2.bin: модуль постоянства, создает каталог маскировки «Antivirus Service» и LaunchAgent, чтобы гарантировать выполнение после каждого входа в систему
macrasv2: финальный похититель, собирает учетные данные браузера, Cookie и записи macOS Keychain, упаковывает их, затем разглашает через Telegram и самоуничтожается
Краткое резюме ключевых индикаторов компрометации (IOC)
Согласно IOC, опубликованным в отчете Mauro Eldritch:
Зловредный IP: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Зловредные домены: update-teams[.]live / livemicrosft[.]com
Ключевые файлы (частично): teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
Порты C2-коммуникаций: 8888 и 9999; в основном используются характерные строки User-Agent для клиента Go HTTP
Полные значения хешей и матрица ATT&CK см. в исходном исследовательском отчете Mauro Eldritch.
Часто задаваемые вопросы
На какие отрасли и цели ориентирован набор инструментов «Mach-O Man»?
Согласно предупреждению Mandiant 23pds и исследованию BCA LTD, «Mach-O Man» в первую очередь нацелен на отрасли финтеха и криптовалют, а также на среды компаний с высокой ценностью, где macOS широко используется; в особенности — на сегмент разработчиков, руководителей и лиц, принимающих решения.
Как злоумышленники побуждают пользователей macOS выполнять вредоносные команды?
Согласно анализу Mauro Eldritch, злоумышленники отправляют через Telegram ссылки, замаскированные под легитимные приглашения на встречи, направляя пользователей на поддельные веб-сайты, имитирующие Zoom, Teams или Google Meet, после чего предлагают выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением, тем самым инициируя установку вредоносного ПО.
Как «Mach-O Man» реализует утечку данных?
Согласно техническому анализу Mauro Eldritch, финальный модуль macrasv2 собирает учетные данные браузера, Cookie и данные macOS Keychain, затем упаковывает их и разглашает через Telegram Bot API; одновременно злоумышленники используют скрипт самоуничтожения, чтобы очистить системные следы.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Крипто-взломы подогревают дискуссию о токенизации Уолл-стрит
Высокопрофильные взломы в криптовалюте проверяют риски DeFi, но маловероятно что они сорвут токенизацию; институции предпочитают разрешенные блокчейны, тогда как более широкая токенизация должна взаимодействовать с DeFi; стейблкоины подвергаются проверке и могут столкнуться с регуляторным противодействием.
CryptoFrontier3ч назад
Volo Protocol потерял $3.5M в хаке на Sui, обязуется компенсировать убытки и заморозить средства хакера
Сообщение Gate News, 22 апреля — Volo Protocol, оператор доходных хранилищ на Sui, объявил вчера (21 апреля), что начал замораживать похищенные активы после эксплойта на $3.5 млн. Хакеры вывели WBTC, XAUm и USDG из Volo Vaults, что стало последним крупным инцидентом в сфере безопасности DeFi за исторически особенно тяжелый месяц для сектора.
GateNews6ч назад
Французская семья вынуждена перевести средства $820K в криптовалюте после вооруженного вторжения в дом
Сообщение Gate News, 22 апреля — Семью в Плоудальмезо, небольшом городе в Бретани, Франция, в понедельник (20 апреля) вторглись два вооруженных человека в масках, сообщает The Block. Троих взрослых связывали более трех часов и заставили перевести примерно 700,000 евро (около $820,000) в криптовалюте на кошельки, контролируемые злоумышленниками. Подозреваемые скрылись на автомобиле; позже транспортное средство было обнаружено полицией в Бресте, однако арестов пока не было.
Этот инцидент является частью более широкой тенденции во Франции. Французская судебная полиция зафиксировала более 40 похищений или грабежей, связанных с криптовалютой, за текущий год — по сравнению примерно с 30 случаями в 2025. Среди прежних жертв были родственники стримера, руководитель крупной криптобиржи и женщина-судья.
GateNews7ч назад
DOJ запустил процесс компенсаций для жертв мошенничества OneCoin: доступно $40M+ восстановленных активов
Сообщение Gate News, 22 апреля — Министерство юстиции США объявило о запуске процесса компенсаций для жертв схемы криптовалютного мошенничества OneCoin: более $40 миллиона восстановленных активов теперь доступны для распределения.
Мошенническая схема, действовавшая в период с 2014 по 2019 год под управлением Ружи
GateNews8ч назад
На создателей AI16Z и ELIZAOS подали в суд по обвинениям в мошенничестве на $2,6 млрд; падение токена на 99,9% от пика
Федеральный коллективный иск обвиняет AI16Z/ELIZAOS в криптомошенничестве на $2,6 млрд через фальшивые заявления об ИИ и обманный маркетинг, утверждая покровительство инсайдеров и инсценированную автономную систему; требует возмещения ущерба в соответствии с законами о защите прав потребителей.
Аннотация: В этом отчете описан поданный 21 апреля в SDNY федеральный коллективный иск, в котором обвиняются AI16Z и его переименование ELIZAOS в криптомошенничестве на $2,6 млрд с использованием фальшивых заявлений об ИИ и обманного маркетинга. В иске утверждается о созданной связке с Andreessen Horowitz и о неавтономной системе. Приводятся данные о пиковой оценке в начале 2025 года, об обвале на 99,9% и примерно о 4 000 убыточных кошельков; при этом инсайдеры получили ~40% новых токенов. Истцы просят возмещения ущерба и справедливой помощи (equitable relief) в соответствии с законами штатов Нью-Йорк и Калифорния о защите потребителей. Регуляторы в Корее и крупные биржи предупреждали или приостанавливали связанную торговлю.
GateNews10ч назад
SlowMist сообщает: активное вредоносное ПО macOS MacSync Stealer, нацеленное на пользователей криптовалют
SlowMist предупреждает о MacSync Stealer (v1.1.2) для macOS, который похищает кошельки, учетные данные, связки ключей и инфраструктурные ключи, используя поддельные запросы AppleScript и фиктивные ошибки «unsupported»; призывает к осторожности и вниманию к IOCs.
Аннотация: В этом отчете обобщается предупреждение SlowMist о MacSync Stealer (v1.1.2) — вредоносной программе-информационном похитителе для macOS, нацеленной на криптовалютные кошельки, учетные данные браузера, системные связки ключей и инфраструктурные ключи (SSH, AWS, Kubernetes). Она обманывает пользователей с помощью поддельных диалогов AppleScript, запрашивая пароли, и отображает видимые фиктивные сообщения «unsupported». SlowMist предоставляет IOCs своим клиентам и советует избегать непроверенных скриптов для macOS и сохранять бдительность в отношении необычных запросов пароля.
GateNews11ч назад
