Нові дані про “Махо-Мана” – нового макроспу – яку зв’язують з Lazarus кампанією, що використовує фейкові запрошення на зустрічі та ClickFix prompts для вкравання даних облікових записів та доступу до корпоративних систем на macOS 🚀
Більшість досліджень щодо безпеки зв’язують новий макроспу для macOS з організацією Lazarus, яка пов’язана з Північною Кореєю та відповідальна за деякі з найбільших викрастих коштів у галузі криптовалют 💰.
У понеділок дослідник безпеки Мауро Ельдріч повідомив, що новий “Махо-Ман” макроспу розповсюджується за допомогою ClickFix соціальних інженеріських схем серед традиційних бізнесів і компаній з криптовалютами 📊.
Жертви лягають в пастку на фейковій зустрічі Zoom чи Google Meet, де вони отримують команди на виконання, які завантажують спу в тлі, дозволяючи порушникам обійти традиційні системи контролю без виявлення та отримати доступ до облікових записів та систем компанії, повідомив дослідник безпеки в своєму звіті 📉.
Дослідники кажуть, що кампанія може призвести до захоплення облікових записів, необумовленого доступу до інфраструктури, фінансових втрат та розкриття критичної інформації, вказуючи на те, що Lazarus продовжує розширювати своє цілевказування далі від компанії з криптовалютами 💸.
Група Lazarus вважається головним підозрюваним у деяких з найбільш масштабних за всю історію криптовалюти викрастих коштів, зокрема в найбільшій зафіксованій раніше крадіжці на обмінці Bybit у 2025 році в розмірі $1,4 мільярда 💸.
Останній етап кампанії – спу, призначений для отримання даних браузерних розширень, збережених облікових даних браузера, кук, записів macOS Keychain та інших чутливих даних з заражених пристроїв.
Після збору дані заархівовуються в zip файл та вивантажуються через Telegram до порушників Нарешті, скрипт самознищення спу видаляє весь макроспу за допомогою системи rm команди, яка обходить підтвердження користувача та дозволи щодо видалення файлів.
Новий макроспу був відновлений дослідником безпеки за допомогою можливостей аналізу macOS в cloud-based malware sandbox Any.run.
Нові дані про Північнокорейських хакерів, які використовували соціальні інженерні схеми з допомоги штучного інтелекту для вкравання близько $100,000 вартості коштів з криптовалютної програми Zerion за допомогою отримання доступу до деяких учасників з логіненими сесіями, обліковими записами та приватними ключами компанії Cointelegraph повідомила раніше в квітні.
Магазин:53 DeFi проєкти були захоплені, 50 мільйонів NEO-джетонів можуть бути повернені користувачам: Asia Express
За матеріалами CoinTelegraph