Mengenai Peringatan yang diterbitkan pada 22 April, Kepala Keamanan Informasi Slow Fog 23pds menyatakan bahwa grup peretas Korea Utara Lazarus Group telah merilis paket alat malware asli macOS yang baru, “Mach-O Man”, yang secara khusus menargetkan industri mata uang kripto dan para eksekutif perusahaan bernilai tinggi.
Metode Serangan dan Target
Berdasarkan laporan analisis Mauro Eldritch, serangan kali ini menggunakan teknik ClickFix: pelaku mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram (dengan menggunakan akun kontak yang telah diretas), sehingga target diarahkan ke situs palsu yang meniru Zoom, Microsoft Teams, atau Google Meet, serta meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi. Operasi ini memungkinkan pelaku memperoleh hak akses ke sistem tanpa memicu kontrol keamanan tradisional.
Data target serangan mencakup: kredensial dan Cookie yang tersimpan di browser, data macOS Keychain, serta data ekstensi browser seperti Brave, Vivaldi, Opera, Chrome, Firefox, dan Safari. Data yang dicuri dibocorkan melalui Telegram Bot API; laporan menyebutkan bahwa pelaku mengekspos token bot Telegram (kesalahan OPSEC), yang melemahkan keamanan operasional tindakannya.
Target utama serangan adalah pengembang, eksekutif, dan pengambil keputusan di lingkungan bernilai tinggi yang secara luas menggunakan macOS, khususnya di industri fintech dan mata uang kripto.
Komponen Utama Paket Mach-O Man
Berdasarkan analisis teknis Mauro Eldritch, paket ini terdiri dari modul utama berikut:
teamsSDK.bin: penyuntik awal, disamarkan sebagai Teams, Zoom, Google, atau aplikasi sistem, dan menjalankan identifikasi sidik jari sistem dasar
D1{string acak}.bin: penganalisis sistem, mengumpulkan nama host, jenis CPU, informasi sistem operasi, serta daftar ekstensi browser, lalu mengirimkannya ke server C2
minst2.bin: modul persistensi, membuat direktori kamuflase “Antivirus Service” dan LaunchAgent untuk memastikan eksekusi berkelanjutan setelah setiap kali login
macrasv2: pencuri akhir, mengumpulkan kredensial browser, Cookie, dan entri macOS Keychain, lalu mengemasnya untuk dibocorkan melalui Telegram dan menghapus diri sendiri
Ringkasan Indikator Kompromi (IOC) Kunci
Berdasarkan IOC yang dipublikasikan dalam laporan Mauro Eldritch:
IP berbahaya: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Nama domain berbahaya: update-teams[.]live / livemicrosft[.]com
Dokumen kunci (sebagian): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Port komunikasi C2: 8888 dan 9999; terutama menggunakan string karakteristik User-Agent pada klien Go HTTP
Nilai hash lengkap dan matriks ATT&CK selengkapnya lihat laporan penelitian asli Mauro Eldritch.
Pertanyaan yang Sering Diajukan
Paket “Mach-O Man” menargetkan industri dan target apa?
Menurut peringatan Slow Fog 23pds dan riset BCA LTD, “Mach-O Man” terutama menargetkan industri fintech dan mata uang kripto, serta lingkungan perusahaan bernilai tinggi yang secara luas menggunakan macOS, khususnya kelompok pengembang, eksekutif, dan pengambil keputusan.
Bagaimana penyerang memancing pengguna macOS agar menjalankan perintah berbahaya?
Berdasarkan analisis Mauro Eldritch, penyerang mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram, mengarahkan pengguna ke situs palsu yang meniru Zoom, Teams, atau Google Meet, lalu meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi, sehingga memicu pemasangan malware.
Bagaimana “Mach-O Man” mewujudkan pencurian data?
Berdasarkan analisis teknis Mauro Eldritch, modul akhir macrasv2 mengumpulkan kredensial browser, Cookie, dan data macOS Keychain, lalu mengemasnya dan membocorkannya melalui Telegram Bot API; pada saat yang sama, penyerang menggunakan skrip penghapusan diri untuk membersihkan jejak sistem.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Protokol Privasi Umbra Menutup Frontend untuk Menghalangi Penyerang dari Pencucian Dana Kelp Hasil Curian
Pesan Gate News, 22 April — Protokol privasi Umbra telah menutup situs web frontend-nya untuk mencegah penyerang menggunakan protokol tersebut guna memindahkan dana hasil pencurian setelah serangan terbaru, termasuk pelanggaran protokol Kelp yang menyebabkan kerugian melebihi $280 juta. Sekitar $800.000 dana curian telah dipindahkan melalui
GateNews59menit yang lalu
Justin Sun Menggugat World Liberty Financial Terkait Token WLFI yang Dibekukan dan Hak Tata Kelola
Kabar Gate, 22 April — Justin Sun telah mengajukan gugatan di pengadilan federal California terhadap World Liberty Financial (WLF), sebuah proyek DeFi yang didukung oleh Eric Trump dan Donald Trump Jr., dengan tuduhan bahwa tim tersebut membekukan seluruh kepemilikan WLFI miliknya, mencabut hak pilihnya, dan mengancam akan membakar permanen tokennya
GateNews3jam yang lalu
Penyerang Venus Protocol memindahkan 2301 ETH, mengalir ke Tornado Cash untuk dicuci
Berdasarkan pemantauan analis on-chain Ai Bibi pada 22 April, penyerang Venus Protocol mentransfer 2.301 ETH (sekitar 5,32 juta dolar AS) ke alamat 0xa21…23A7f dari 11 jam yang lalu, kemudian secara bertahap memindahkan dana tersebut ke mixer kripto Tornado Cash untuk melakukan pencucian; hingga saat pemantauan, penyerang masih memegang sekitar 17,45 juta dolar AS dalam bentuk ETH di rantai.
MarketWhisper4jam yang lalu
Eksposur kerentanan zero-day CometBFT, 8 miliar dolar AS node jaringan Cosmos menghadapi risiko deadlock
Peneliti keamanan Doyeon Park pada 21 April mengungkapkan secara publik adanya kerentanan zero-day tingkat kritis dengan skor CVSS 7.1 dalam lapisan konsensus Cosmos, CometBFT, yang berpotensi menyebabkan node diserang oleh rekan sejawat (peer) berbahaya pada tahap sinkronisasi blok (BlockSync) sehingga mengalami kebuntuan (deadlock), sehingga berdampak pada jaringan yang melindungi lebih dari 8 miliar dolar AS aset.
MarketWhisper4jam yang lalu
Grup Lazarus Korea Utara Merilis Malware macOS Baru Mach-O Man yang Menargetkan Kripto
Ringkasan: Lazarus Group merilis toolkit malware asli macOS bernama Mach-O Man, yang ditujukan untuk platform kripto dan eksekutif bernilai tinggi; SlowMist memperingatkan pengguna untuk berhati-hati terhadap serangan.
Abstrak: Artikel ini melaporkan bahwa Lazarus Group telah meluncurkan Mach-O Man, sebuah toolkit malware asli macOS yang ditujukan untuk platform cryptocurrency dan eksekutif bernilai tinggi. SlowMist memperingatkan pengguna untuk berhati-hati guna mengurangi potensi serangan.
GateNews5jam yang lalu
Selat Hormuz muncul penipuan tol Bitcoin, kapal ditembak meski sudah membayar
Menurut CoinDesk pada 22 April, perusahaan layanan risiko maritim Yunani, Marisks, mengeluarkan peringatan yang menyatakan para penipu menyamar sebagai otoritas Iran dan mengirim pesan kepada beberapa perusahaan pelayaran untuk meminta Bitcoin atau USDT sebagai “biaya tol” untuk melewati Selat Hormuz. Marisks mengonfirmasi bahwa pesan-pesan terkait tidak berasal dari saluran resmi Iran, dan, menurut laporan Reuters, menyatakan bahwa mereka percaya setidaknya satu kapal menjadi korban penipuan dan, pada akhir pekan saat mencoba melintas, tetap terkena tembakan artileri.
MarketWhisper5jam yang lalu
