Новая угроза для macOS: “Мачо-мен” и Лазарус-группа! 🚀💰
Ученые-исследователи связали новую кампанию вредоносного ПО для macOS с Лазарус-группой, северокорейской хакерской операцией, ответственной за некоторые из крупнейших краж в криптоиндустрии.
Новая “Мачо-мен” вредоносная программа распространяется через социальные инженерные трюки “ClickFix” среди традиционных компаний и компаний криптовалют, по словам Мауро Элдрича, эксперта в области офенсивной безопасности и основателя компании по сбору информации о безопасности BCA Ltd.
Жертвы заманиваются на фейковую видеозвонок Zoom или Google Meet, где им предлагается выполнить команды, которые загружают вредоносное ПО в фоновом режиме, позволяя атакующим обойти традиционные контролы без обнаружения и получить доступ к учетным данным и корпоративным системам, сказал ученый-исследователь в своем отчете.
Эксперты считают, что кампания может привести к взятию под контроль учетных данных, незаконному доступу к инфраструктуре, финансовым потерям и раскрытию критической информации, подчеркивая, как Лазарус продолжает расширять свое внимание за пределами компаний, специализирующихся в криптовалюте.
Лазарус-группа — главный подозреваемый в некоторых из крупнейших краж криптовалют, включая кражу в размере 1,4 миллиарда долларов на бирже Bybit в 2025 году, крупнейшую до сих пор.
Последняя стадия кампании — вредоносная программа, предназначенная для извлечения данных браузерных расширений, хранимых браузерных учетных данных, cookie, macOS Keychain записей и других чувствительных данных с зараженных устройств.
После сбора данных они архивируются в zip-файл и выгружаются через Telegram на атакующих Наконец, скрипт саморазрушения вредоносной программы удаляет всю программу путем использования команды rm системы, которая обходит пользовательское подтверждение и разрешения при удалении файлов.
Новую вредоносную программу реконструировал ученый-исследователь с помощью облачной sandbox Any.run и возможностей анализа macOS.
Related:CZ звонит тревогу, как “СЕАЛ”-команда обнаружила 60 фейковых ИТ-работников, связанных с Северной Кореей Ранее в апреле северокорейские хакеры использовали социальные инженерные трюки с помощью AI, чтобы похитить примерно 100 000 долларов стоимости фондс Zerion, после получения доступа к некоторым участникам логиненных сессий, учетных данных и приватных ключей компании, сообщило Cointelegraph 15 апреля.
Магазин:53 проекта DeFi проникнуты, 50 миллионов NEO-жетонов могут быть “вернуты назад”: Asia Express
По материалам CoinTelegraph