Mao Wei Capital Chief Information Security Officer 23pds veröffentlichte am 22. April eine Warnmeldung und erklärte, dass die nordkoreanische Hackergruppe Lazarus Group ein neues nativ-macOS-Bösartiges-Software-Toolset „Mach-O Man“ veröffentlicht habe, das speziell auf Akteure der Krypto-Branche sowie Führungskräfte in Unternehmen mit hohem Wert zugeschnitten sei.
Angriffsmethoden und Ziele
Laut dem Analysebericht von Mauro Eldritch verwendet dieser Angriff die ClickFix-Methode: Angreifer leiten ihre Ziele über Telegram (mit einem bereits kompromittierten Kontaktkonton) auf einen Link, der als legitime Meeting-Einladung getarnt ist. Der Link führt zu einer gefälschten Website, die Zoom, Microsoft Teams oder Google Meet nachahmt, und fordert den Nutzer auf, Befehle im macOS-Terminal auszuführen, um „Verbindungsprobleme“ zu „reparieren“. Dadurch erhält der Angreifer Systemzugriffsrechte, ohne dass dabei die herkömmlichen Sicherheitskontrollen ausgelöst werden.
Zu den Zieldaten gehören: in Browsern gespeicherte Anmeldeinformationen und Cookies, Daten aus dem macOS Keychain sowie Erweiterungsdaten der Browser Brave, Vivaldi, Opera, Chrome, Firefox und Safari. Die gestohlenen Daten werden über die Telegram Bot API exfiltriert; der Bericht weist darauf hin, dass die Angreifer Telegram-Bot-Token offengelegt haben (OPSEC-Fehler), wodurch die Sicherheit ihres Handelns beeinträchtigt wurde.
Die Angriffsziele sind hauptsächlich Entwickler, Führungskräfte und Entscheidungsträger in FinTech- und Krypto-Branchen sowie in hochwertigen Unternehmensumgebungen, in denen macOS weit verbreitet ist.
Hauptkomponenten des Mach-O Man-Toolsets
Laut der technischen Analyse von Mauro Eldritch besteht das Toolset aus den folgenden wichtigsten Modulen:
teamsSDK.bin: Initialer Dropper, getarnt als Teams, Zoom, Google oder Systemanwendung; führt eine grundlegende System-Fingerabdruck-Erkennung aus
D1{zufällige Zeichenfolge}.bin: Systemanalysator, sammelt den Hostnamen, den CPU-Typ, Betriebssysteminformationen sowie eine Liste von Browser-Erweiterungen und sendet diese an den C2-Server
minst2.bin: Persistenzmodul, erstellt ein getarntes „Antivirus Service“-Verzeichnis und einen LaunchAgent, um sicherzustellen, dass die Ausführung nach jeder Anmeldung fortgesetzt wird
macrasv2: Finaler Stealer, sammelt Browser-Anmeldeinformationen, Cookies und macOS-Keychain-Items, verpackt die Daten, exfiltriert sie über Telegram und löscht sich anschließend selbst
Kurzfassung der wichtigsten Indikatoren für Kompromittierung (IOC)
Laut den vom Bericht von Mauro Eldritch veröffentlichten IOCs:
Bösartige IPs: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Bösartige Domains: update-teams[.]live / livemicrosft[.]com
Wichtige Dateien (teilweise): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
C2-Kommunikationsports: 8888 und 9999; hauptsächlich mit Go-HTTP-Client-User-Agent-Erkennungszeichenketten
Den vollständigen Hash-Wert und die ATT&CK-Matrix finden Sie im ursprünglichen Forschungsbericht von Mauro Eldritch.
Häufige Fragen
„Mach-O Man“-Toolset: Welche Branchen und Ziele werden angegriffen?
Laut der Warnmeldung von Slow Mist 23pds und der Forschung von BCA LTD richtet sich „Mach-O Man“ vor allem an die FinTech- und Krypto-Branche sowie an hochwerthaltige Unternehmensumgebungen, in denen macOS weit verbreitet ist, insbesondere an die Gruppen der Entwickler, Führungskräfte und Entscheidungsträger.
Wie verleiten Angreifer macOS-Nutzer dazu, bösartige Befehle auszuführen?
Laut der Analyse von Mauro Eldritch senden Angreifer über Telegram Links, die als legitime Meeting-Einladungen getarnt sind. Dadurch werden Nutzer auf gefälschte Websites geleitet, die Zoom, Teams oder Google Meet nachahmen, und die Nutzer werden aufgefordert, im macOS-Terminal Befehle auszuführen, um Verbindungsprobleme zu „reparieren“, wodurch die Installation der bösartigen Software ausgelöst wird.
Wie führt „Mach-O Man“ die Datenexfiltration durch?
Laut der technischen Analyse von Mauro Eldritch sammelt das finale Modul macrasv2 nach dem Sammeln von Browser-Anmeldeinformationen, Cookies und macOS-Keychain-Daten diese, verpackt sie und exfiltriert sie über die Telegram Bot API; gleichzeitig nutzt der Angreifer ein Self-Delete-Skript, um Systemspuren zu löschen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Nordkoreanische Lazarus-Gruppe setzt Mach-O Man-Malware ein, um Krypto-Wallet-Zugangsdaten von macOS-Nutzern zu stehlen
Lazarus veröffentlicht Mach-O Man für macOS, um Keychain-Daten und Wallet-Zugangsdaten zu stehlen, indem es Krypto-Führungskräfte über ClickFix-Pop-ups und kompromittierte Telegram-Meetings anvisiert.
Zusammenfassung: Der Artikel berichtet, dass die mit Lazarus verbundene Mach-O Man-Malware macOS zum Abgreifen von Keychain-Daten, Browser-Anmeldeinformationen und Login-Sitzungen anvisiert, um auf Krypto-Wallets und Exchange-Konten zuzugreifen. Die Verbreitung stützt sich auf ClickFix-Sozialtechnik und kompromittierte Telegram-Konten, die Opfer zu gefälschten Meeting-Links weiterleiten. Der Beitrag ordnet die Operation dem Kelp-DAO-Hack vom 20. April zu und identifiziert TraderTraitor als Lazarus-nah, wobei rsETH-Bewegungen über Blockchains hinweg über den OFT-Standard von LayerZero erfolgt sind.
GateNews27M her
ZachXBT warnt vor Bitcoin-Depot-Geldautomaten mit über 44 % Aufschlag auf den Bitcoin-Kurs
ZachXBT warnt, dass Bitcoin-Depot-Geldautomaten hohe Aufschläge verlangen—$25k fiat zu 108.000 $/BTC im Vergleich zu ~$75k Markt (etwa 44%), was zu ~ 7,5k Verlust bei 0,232 BTC führt; außerdem weist er auf eine Sicherheitsverletzung im Wert von 3,26 Mio. $ hin.
Dieser Artikel fasst ZachXBTs Warnungen zu den Preispraktiken von Bitcoin Depot und einer kürzlichen Sicherheitsverletzung zusammen und hebt Risiken durch überhöhte Sätze und Sicherheitsmängel für Nutzer hervor.
GateNews2Std her
Privacy Protocol Umbra Shuts Down Frontend to Block Attackers from Laundering Stolen Kelp Funds
Gate News message, April 22 — Privacy protocol Umbra has shut down its frontend website to prevent attackers from using the protocol to transfer stolen funds following recent attacks, including the Kelp protocol breach that resulted in losses exceeding $280 million. Approximately $800,000 in stolen
GateNews4Std her
Angreifer des Venus-Protokolls überweisen 2301 ETH und leiten sie in Tornado Cash zur Wäsche weiter
Laut den Beobachtungen der On-Chain-Analystin Ai Ayi am 22. April hat der Angreifer von Venus Protocol vor 11 Stunden an die Adresse 0xa21…23A7f 2.301 ETH (ca. 5,32 Mio. USD) überwiesen und die Gelder anschließend in Tranchen in den Krypto-Mixer Tornado Cash eingezahlt, um sie zu waschen; zum Zeitpunkt der Beobachtung hält der Angreifer auf der Blockchain weiterhin etwa 17,45 Mio. USD in ETH.
MarketWhisper7Std her
CometBFT Zero-Day-Schwachstelle aufgedeckt, 8 Milliarden US-Dollar Cosmos-Netzwerkknoten drohen einem Deadlock-Risiko
Sicherheitsforscher Doyeon Park hat am 21. April eine schwerwiegende Zero-Day-Schwachstelle mit CVSS 7,1 in der Konsensschicht von Cosmos, CometBFT, öffentlich offengelegt. Diese könnte dazu führen, dass Knoten in der Block-Sync-Phase (BlockSync) von böswilligen Peers angegriffen werden und dadurch in einen Deadlock geraten, was das Netzwerk beeinträchtigt, das über Vermögenswerte von mehr als 8 Milliarden US-Dollar absichert.
MarketWhisper7Std her
