Новое злоумышленное приложение для macOS: Mach-O Man
🚀 Специалист по кибербезопасности Мауро Элдрич обнаружил, что киберпреступники из Северной Кореи нашли новый способ проникновения в системы жертв через обычные рабочие звонки.
📉 Новые инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании.
▶️ Читайте мой полный пост, чтобы узнать больше об этой угрозе.
— Mauro Eldritch 🏴☠️ (@MauroEldritch)
Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man Его создала другая северокорейская хакерская группировка.
Эти инструменты используют метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением».
Есть пример сообщения от хакеров в Telegram, которое может привести к фишинговому сайту.
Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac
Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам.
Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно.
Исследователь Владимир С отметил, что существует несколько вариаций описанной Элдричом атаки.
Одна из этих вариаций включает в себя хакерскую группировку Lazarus, которая захватывает домены DeFi-проектов с помощью нового арсенала и заменяет их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.
«Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности
Они не совершают случайных взломов, а работают в масштабе и темпе, характерном для институций», — сказала старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон.
Сейчас сообщается, что есть 100 северокорейских IT-агентов в Web3-компаниях.
По материалам ForkLog