Новая macOS-вредоносная кампания Lazarus нацелилась на крипто- и финтех-компании

Исследователи в области безопасности связали новую кампанию вредоносного ПО для macOS с группировкой Lazarus — северокорейской хакерской структурой, известной крупными кражами в криптоиндустрии.

По словам Мауро Элдрича, специалиста по offensive security и основателя компании BCA Ltd, во вторник была выявлена новая связка вредоносных инструментов под названием Mach-O Man, распространяемая через схемы социальной инженерии ClickFix и нацеленная как на традиционный бизнес, так и на криптокомпании.

Жертв заманивают на фальшивый звонок в Zoom или Google Meet, где их убеждают выполнить команды, которые незаметно загружают вредоносное ПО в фоновом режиме. Это помогает атакующим обходить стандартные средства защиты и получать доступ к учетным данным и корпоративным системам, говорится в отчете.

По оценкам исследователей, атака может привести к захвату аккаунтов, несанкционированному доступу к инфраструктуре, финансовым потерям и утечке критически важных данных, что показывает расширение целей Lazarus за пределы сугубо криптокомпаний.

Lazarus называют главным подозреваемым в ряде крупнейших криптовзломов, включая кражу $1,4 млрд у биржи Bybit в 2025 году.

Набор Mach-O Man внедряет скрытый стилер

На финальном этапе кампании используется стилер, который извлекает данные расширений браузера, сохраненные пароли, cookie, записи macOS Keychain и другую конфиденциальную информацию с зараженных устройств.

После сбора данные упаковываются в zip-архив и выводятся злоумышленникам через Telegram. Затем скрипт самоуничтожения удаляет весь набор с помощью системной команды rm, что позволяет обходить подтверждения пользователя и ограничения прав при удалении файлов.

Как отмечается, этот набор вредоносного ПО был восстановлен экспертом с использованием возможностей анализа macOS в облачной песочнице Any.run.

Источник: ANY.RUN