根據 Mauro Eldritch 的分析報告，本次攻擊採用 ClickFix 手法：攻擊者通過 Telegram（使用已被入侵的聯絡人帳號）發送偽裝成合法會議邀請的連結，將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站，並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。

攻擊目標資料包括：瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據，以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩；報告指出攻擊者暴露了 Telegram 機器人令牌（OPSEC 失誤），削弱了其行動安全性。

攻擊對象主要為金融科技及加密貨幣行業，以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。

Mach-O Man 工具包主要組件

根據 Mauro Eldritch 的技術分析，工具包由以下主要模組構成：

teamsSDK.bin：初始植入器，偽裝為 Teams、Zoom、Google 或系統應用，執行基本系統指紋識別

D1{隨機字串}.bin：系統分析器，收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器

minst2.bin：持久化模組，建立偽裝「Antivirus Service」目錄及 LaunchAgent，確保每次登入後持續執行

macrasv2：最終竊取器，收集瀏覽器憑證、Cookie 及 macOS Keychain 條目，打包後通過 Telegram 外洩並自我刪除

關鍵入侵指標（IOC）摘要

根據 Mauro Eldritch 報告發布的 IOC：

惡意 IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

惡意域名：update-teams[.]live / livemicrosft[.]com

關鍵文件（部分）： teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通訊端口： 8888 及 9999；主要使用 Go HTTP 用戶端 User-Agent 特徵字符串

完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。

常見問題

「Mach-O Man」工具包針對哪些行業和目標？

根據慢霧 23pds 的警示及 BCA LTD 的研究，「Mach-O Man」主要針對金融科技和加密貨幣行業，以及 macOS 廣泛使用的高價值企業環境，特別是開發者、高管和決策者群體。

攻擊者如何誘導 macOS 用戶執行惡意命令？

根據 Mauro Eldritch 的分析，攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結，將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站，提示用戶在 macOS 終端執行命令以「修復」連線問題，從而觸發惡意軟體安裝。

「Mach-O Man」如何實現數據外洩？

根據 Mauro Eldritch 的技術分析，最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包，通過 Telegram Bot API 外洩；同時攻擊者採用自我刪除腳本清除系統痕跡。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

独立研究员破解 15 位 ECC 密钥，赢得 Project Eleven 的比特币奖励

比特币新闻安全事件

Gate News 消息，4月25日——独立研究员 Giancarlo Lelli 成功破解了一个用于保护比特币的 15 位 ECC 加密密钥，并从量子安全创业公司 Project Eleven 获得 Q-Day 奖以及 1 BTC。 Lelli 使用公开可获得的量子硬件，以及 Shor 算法的一个变体

GateNews31 分钟前

加州22岁加密货币洗钱者因$263M 诈骗计划被判70个月

执法行动安全事件

Gate News消息，4月25日——22岁的伊万·坦格曼（Evan Tangeman）来自美国加利福尼亚州纽波特海滩，因其在洗钱$263 百万美元方面的角色，于4月24日被判处70个月监禁。该款项系通过一项大规模加密货币诈骗计划获得。美国华盛顿特区地区法院作出该判决

GateNews1小时前

哥伦比亚与美国当局瓦解价值 1.9 亿美元的与 CJNG 关联的加密洗钱网络

执法行动安全事件

Gate News 消息，4 月 25 日——哥伦比亚和美国执法机构已联合瓦解一个与墨西哥哈利斯科新生代贩毒集团 (CJNG) 相关的跨国加密货币洗钱网络。该网络已通过加密渠道转移超过 $190 百万的非法资金

GateNews3小时前

法国自2023年以来报告135起与加密货币相关的绑架案件；包括未成年人；75人被拘留

执法行动安全事件

Gate News 消息，4月25日——法国有组织犯罪检察办公室 (PNACO) 表示，自2023年以来，该国已记录 135 起与加密货币相关的绑架或未遂绑架案件。在目前正在调查的 12 起案件中，已有 88 名个人被正式

GateNews4小时前

加州男子因在 $263M 加密盗窃计划中的洗钱行为被判处70个月

执法行动安全事件

Gate News 消息，4月25日——根据美国司法部的说法，来自加利福尼亚州纽波特比奇的22岁男子埃文·坦杰曼（Evan Tangeman）因其在一个跨多个州的社交工程犯罪团伙中的角色，被判处联邦监禁70个月，并被判处3年监督释放。该团伙偷走的加密货币金额超过 $263 百万

GateNews7小时前

3.5 个月内法国 41 起加密绑架；Durov 归咎数据泄露

地缘政治安全事件平台风险

Gate News 消息，4月24日——据 Telegram 创始人 Pavel Durov 称，在 2026 年仅 3.5 个月内，法国已发生 41 起对加密货币持有者的绑架事件，他将激增归因于大规模的数据泄露。Durov 在一则 X 帖子中强调，敏感个人数据——包括税务机关掌握的信息，以及法国安全文件署发生的重大泄露中的信息——已经暴露了大约 1900 万人的姓名、地址和电话号码，使数字资产持有者更容易成为目标。 Gate News 消息，4月24日——据 Telegram 创始人 Pavel Durov 称，在 2026 年仅 3.5 个月内，法国已发生 41 起对加密货币持有者的绑架事件，他将激增归因于大规模的数据泄露。Durov 在一则 X 帖子中强调，敏感个人数据——包括税务机关掌握的信息，以及法国安全文件署发生的重大泄露中的信息——已经暴露了大约 1900 万人的姓名、地址和电话号码，使数字资产持有者更容易成为目标。

GateNews11小时前

0/400

暂无评论