根據 Mauro Eldritch 的分析報告，本次攻擊採用 ClickFix 手法：攻擊者通過 Telegram（使用已被入侵的聯絡人帳號）發送偽裝成合法會議邀請的連結，將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站，並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。

攻擊目標資料包括：瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據，以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩；報告指出攻擊者暴露了 Telegram 機器人令牌（OPSEC 失誤），削弱了其行動安全性。

攻擊對象主要為金融科技及加密貨幣行業，以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。

Mach-O Man 工具包主要組件

根據 Mauro Eldritch 的技術分析，工具包由以下主要模組構成：

teamsSDK.bin：初始植入器，偽裝為 Teams、Zoom、Google 或系統應用，執行基本系統指紋識別

D1{隨機字串}.bin：系統分析器，收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器

minst2.bin：持久化模組，建立偽裝「Antivirus Service」目錄及 LaunchAgent，確保每次登入後持續執行

macrasv2：最終竊取器，收集瀏覽器憑證、Cookie 及 macOS Keychain 條目，打包後通過 Telegram 外洩並自我刪除

關鍵入侵指標（IOC）摘要

根據 Mauro Eldritch 報告發布的 IOC：

惡意 IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

惡意域名：update-teams[.]live / livemicrosft[.]com

關鍵文件（部分）： teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通訊端口： 8888 及 9999；主要使用 Go HTTP 用戶端 User-Agent 特徵字符串

完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。

常見問題

「Mach-O Man」工具包針對哪些行業和目標？

根據慢霧 23pds 的警示及 BCA LTD 的研究，「Mach-O Man」主要針對金融科技和加密貨幣行業，以及 macOS 廣泛使用的高價值企業環境，特別是開發者、高管和決策者群體。

攻擊者如何誘導 macOS 用戶執行惡意命令？

根據 Mauro Eldritch 的分析，攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結，將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站，提示用戶在 macOS 終端執行命令以「修復」連線問題，從而觸發惡意軟體安裝。

「Mach-O Man」如何實現數據外洩？

根據 Mauro Eldritch 的技術分析，最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包，通過 Telegram Bot API 外洩；同時攻擊者採用自我刪除腳本清除系統痕跡。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

朝鲜 Lazarus 组织部署 Mach-O Man 恶意软件，从 macOS 用户窃取加密货币钱包凭证

执法行动安全事件

Lazarus 为 macOS 发布 Mach-O Man，以窃取钥匙串数据和钱包凭证，目标是通过 ClickFix 弹窗以及被攻破的 Telegram 会议来锁定加密货币高管。摘要：该文章称，与 Lazarus 相关的 Mach-O Man 恶意软件针对 macOS，以外传钥匙串数据、浏览器凭证和登录会话，从而访问加密货币钱包和交易所账户。其分发依赖于 ClickFix 社交工程手段，以及被攻破的 Telegram 账号将受害者引导至伪造的会议链接。文章将此次行动与 4 月 20 日的 Kelp DAO 被黑事件联系起来，并指出 TraderTraitor 与 Lazarus 有关联，同时提到通过 LayerZero 的 OFT 标准在区块链之间转移 rsETH。

GateNews27 分钟前

ZachXBT 警惕：反对使用 Bitcoin Depot ATM，存在 44% 以上的比特币加价

比特币新闻安全事件平台风险

ZachXBT 警告称，比特币帝波特（Bitcoin Depot）自动取款机施加高额溢价——$25k 法币按每枚 BTC 108k 美元计价，而非约$75k 市场(约 44%)，在 0.232 BTC 上导致约 7.5k 美元损失；此外还指出一次 3.26M 美元的安全漏洞。本文总结了 ZachXBT 对 Bitcoin Depot 定价做法及近期安全漏洞的警告，强调由于费率被抬高和安全疏漏而对用户带来的风险。

GateNews2小时前

隐私协议 Umbra 关闭前端以阻止攻击者洗钱被盗的 Kelp 资金

地缘政治执法行动安全事件

Gate 新闻消息，4月22日——隐私协议 Umbra 已关闭其前端网站，以防止攻击者在近期攻击之后利用该协议转移被盗资金，包括导致损失超过 $280 million 的 Kelp 协议泄露事件。约有 $800,000 的被盗资金通过“

GateNews4小时前

Venus Protocol 攻击者转移 2301 枚 ETH，流入 Tornado Cash 清洗

以太坊新闻执法行动安全事件链上数据

根据链上分析师 Ai 阿姨于 4 月 22 日的监测，Venus Protocol 攻击者在 11 小时前向地址 0xa21…23A7f 转移 2,301 枚 ETH（约 532 万美元），随后将资金分批转入加密混合器 Tornado Cash 进行清洗；截至监测时，攻击者链上仍持有约 1,745 万美元的 ETH。

Market Whisper7小时前

CometBFT 零日漏洞曝光，80 亿美元 Cosmos 网络节点面临死锁风险

安全事件

安全研究员 Doyeon Park 于 4 月 21 日公开揭露 Cosmos 共识层 CometBFT 中存在一个 CVSS 7.1 级高危零日漏洞，可能导致节点在区块同步（BlockSync）阶段遭恶意对等节点攻击而陷入死锁，影响保障超 80 亿美元资产的网络。

Market Whisper7小时前

0/400

暂无评论