Der Auftritt von Mach-O-Mannein neues Set von Native Malware für macOS Der Angriff, der der nordkoreanischen Gruppe Lazarus zugeschrieben wird, hat in der globalen Kryptowährungs- und Fintech-Szene für große Besorgnis gesorgt. Die Bedrohung beschränkt sich nicht auf große Börsen oder DeFi-Protokolle; sie betrifft auch direkt europäische und spanische Unternehmen, die in ihren Führungs-, Finanz- und Entwicklungsabteilungen auf Mac-Computer angewiesen sind.
Wir stehen vor einer Kampagne, die Verwandeln Sie einen Videoanruf im Arbeitsalltag in einen potenziellen Einstiegspunkt zur Unternehmensinfrastruktur. Anstatt sich ausschließlich auf technische Schwachstellen zu verlassen, kombiniert Mach-O Man hochentwickeltes Social Engineering mit Modulen, die auf den Diebstahl von Zugangsdaten spezialisiert sind. macOS-Schlüsselbunde und der Zugang zu digitalen Geldbörsen, was das Risiko für Unternehmen, die große Mengen an digitalem Kapital verwalten, vervielfacht.
Die Lazarus Group und ihre Ziele in den Bereichen Krypto, DeFi und Fintech
Hinter Mach-O Man steht der Lazarus-GruppeDiese auch als „Famous Chollima“ bekannte Einheit zählt zu den aktivsten Cyberoperationseinheiten mit Verbindungen zu Nordkorea. Verschiedene Sicherheitsberichte schätzen, dass diese Gruppe über rund [Anzahl einfügen] Mitglieder verfügt. 6.700 Mio. en Kryptowährungsdiebstähle seit 2017, mit Rückschlägen für Plattformen wie KelpDAO, Drift, Bybit oder Zerion.
Untersuchungen von Teams wie CertiK, dem Quetzal-Team von Bitso und unabhängigen Analysten deuten darauf hin, dass Mach-O Man ist Teil einer nachhaltigen Finanzstrategie vom nordkoreanischen Staat. Dies wäre keine isolierte Kampagne, sondern vielmehr ein weiterer Baustein in einem größeren Plan, der darauf abzielt, Kapital aus den Bereichen Krypto, DeFi und Fintech abzuziehen.
Laut der CertiK-Forscherin Natalie Newson sollte die Kryptoindustrie anfangen, sich mit Lazarus auseinanderzusetzen. genauso wie traditionelle Banken staatliche Akteure beobachtenals kontinuierliche, gut finanzierte und anhaltende Bedrohung. Innerhalb weniger Wochen wurden über 500 Millionen US-Dollar durch Exploits im Zusammenhang mit Protokollen wie Drift und KelpDAO abgezweigt, was die Annahme einer koordinierten Offensive bestärkt.
Lazarus konzentriert sich derzeit auf Profile mit hochsensiblen Zugriffsrechten In hochkarätigen Unternehmen: Führungskräfte im Fintech-Bereich, Web3-Entwickler, Produktmanager und Treasury-Teams von Börsen, DeFi-Projekten und regulierten Krypto-Dienstleistern. Viele von ihnen, insbesondere in Europa und Spanien, nutzen täglich Macs.
Für Unternehmen mit Sitz in Städte wie Madrid, Barcelona, Valencia, Malaga, Berlin oder AmsterdamIn diesem Bereich, in dem Neobanken, institutionelle Verwahrer und Krypto-Startups konzentriert sind, ist die Botschaft klar: Wer digitale Liquidität, DeFi-Integrationen oder kritische SaaS-Infrastruktur von macOS aus verwaltet, fällt eindeutig in das Mach-O-Man-Risikoprofil.
Was ist Mach-O-Man und wie wird er gebaut?
Mach-O Man wird beschrieben als Modulares Malware-Kit für macOSEs wurde von der Chollima-Abteilung der Lazarus-Gruppe entwickelt, ist in Go geschrieben und kompiliert als native Mach-O-BinärdateienDas heißt, das Standard-Ausführungsformat in macOS, sowohl für Intel- als auch für Apple Silicon-Prozessoren.
Die Wahl von Go und dem Mach-O-Format ermöglicht es den Bausatzkomponenten, sich nahtlos in die Apple-Umgebung einfügenDies umgeht einige gängige Barrieren, die weniger optimierte ausführbare Dateien blockieren, und ist deshalb relevant, weil eine große Anzahl von Krypto- und Fintech-Unternehmen Macs in Schlüsselverwaltungs-, Rechts-, Handels- und technischen Positionen einsetzen.
Das Set funktioniert auf mehrere miteinander verbundene StufenJede Komponente hat eine spezifische Funktion: Herunterladen schädlicher Binärdateien, Sammeln von Systeminformationen, Etablierung von Persistenz und letztendlich massiver Datendiebstahl. Dank des modularen Aufbaus können Angreifer die Kampagne an die jeweilige Opfergruppe und das finanzielle Ziel jeder Operation anpassen.
Eine der heikelsten Fähigkeiten von Mach-O Man ist seine Interaktion mit dem macOS-SchlüsselbundDort speichert das System Passwörter, private Schlüssel, Wiederherstellungsphrasen und andere sensible Informationen. Darüber hinaus analysieren die Module des Kits diese Daten. Browsererweiterungen und Daten wie beispielsweise Chrome, Safari, Firefox, Brave, Opera oder Vivaldi, wodurch Tür und Tor für den Diebstahl von Session-Cookies, Zugriffstoken und gespeicherten Anmeldeinformationen geöffnet wird.
Forscher haben sogar beobachtet Programmierfehler In einigen Komponenten findet sich ein Fehler, der zu einer Endlosschleife und abnormaler CPU-Auslastung führt. Diese Art von Schwachstelle kann zwar auf das Vorhandensein von Schadsoftware hinweisen, deutet aber auch darauf hin, dass das Kit etwas überhastet eingesetzt wurde, möglicherweise um bestimmte Angriffsfenster auszunutzen, bevor die Verteidiger ihre Maßnahmen anpassen konnten.
ClickFix: Die Videoanruffalle, die Ihren Mac gefährdet
Das Beunruhigendste an Mach-O-Man ist nicht nur sein Code, sondern Wie kommt er in die Mannschaften?Statt einen klassischen technischen Fehler auszunutzen, setzt die Kampagne auf eine Social-Engineering-Technik namens ClickFix, die darauf abzielt, den Benutzer dazu zu verleiten, den schädlichen Befehl auszuführen, da er glaubt, einen routinemäßigen Support-Schritt durchzuführen.
Das Schema beginnt üblicherweise mit einem dringende Einladung zu einem Treffen Gesendet über Telegram. Die Nachricht verspricht einen Videoanruf über Zoom, Microsoft Teams oder Google Meet und wirkt in vielen Fällen völlig legitim, da sie von kompromittierten Konten realer Kontakte stammt: Branchenkollegen, Geschäftspartner, Lieferanten oder sogar vertrauenswürdige technische Mitarbeiter.
Nach dem Anklicken wird das Opfer auf eine andere Seite weitergeleitet. gefälschte, aber sehr überzeugende WebsiteDas Erscheinungsbild ahmt die Ästhetik von Videoanrufplattformen oder Diensten wie Cloudflare nach. Dort erscheint eine vermeintliche Verbindungs- oder Kompatibilitätsstörung, zusammen mit einer scheinbar harmlosen Lösung: einen einfachen Befehl in das macOS-Terminal kopieren und einfügen, um das Problem zu „beheben“.
Dieser Befehl ist der Kern der Täuschung. Bei seiner Ausführung lädt er die Software herunter und startet sie. Erster Stadiator der MalwareDies geschieht häufig mithilfe einer Binärdatei wie teamsSDK.bin über curl. Da der Benutzer den Befehl im Terminal ausführt, behandeln Mechanismen wie Gatekeeper diese Ausführung in der Regel als autorisierte Aktion, sodass viele automatische Schutzmechanismen nicht ausgelöst werden.
In einigen dokumentierten Vorfällen gingen Angreifer mit Verbindungen zu Lazarus sogar so weit, DeFi-Projektdomains kapern und ersetzen ihre Websites durch eine gefälschte Cloudflare-Meldung, die Nutzer zur Eingabe eines Verifizierungsbefehls auffordert. Das Muster ist identisch: Ein kritischer Sicherheitsschritt wird als einfache technische Überprüfung getarnt.
Die vier Phasen des Angriffs: von der Infektion bis zum Diebstahl von Zugangsdaten
Sobald das Opfer in die ClickFix-Falle getappt ist und den Befehl ausgeführt hat, startet Mach-O Man einen Angriffsablauf. vier Hauptphasen, detailliert beschrieben vom Quetzal-Team von Bitso und anderen Analysten.
Im ersten Fall der Stager Laden Sie zusätzliche, in Go geschriebene Binärdateien herunter und führen Sie diese aus.Die Anmeldung erfolgt mit Zertifikaten, die speziell erstellt wurden, um legitim zu wirken. An dieser Stelle kann ein gefälschtes Anwendungspaket angezeigt werden, das nach dem macOS-Passwort fragt. Forscher haben sogar festgestellt, dass das Anmeldefenster bei den ersten beiden Versuchen „wackelt“ und das Passwort erst beim dritten Versuch akzeptiert – ein Trick, der den Eindruck von Normalität verstärken soll.
Die zweite Phase konzentriert sich auf die SystemprofilierungEin Modul ist dafür zuständig, möglichst viele Informationen über den Rechner zu sammeln: Hostname, UUID, CPU-Typ, macOS-Version, laufende Prozesse, Netzwerkkonfiguration und installierte Erweiterungen in gängigen Browsern. Mithilfe dieser Daten schätzen die Angreifer die Bedeutung des Ziels ein und passen die weitere Vorgehensweise entsprechend an.
In der dritten Phase etabliert die Schadsoftware eine PersistenzmechanismusDazu installiert es eine als Anwendung namens OneDrive getarnte Komponente an einem versteckten Ort, üblicherweise in einem Ordner mit einem Namen wie „Antivirus-Dienst“, und registriert einen LaunchAgent unter Kennungen wie com.onedrive.launcher.plist. Dadurch wird sichergestellt, dass es bei jeder Benutzeranmeldung automatisch ausgeführt wird.
Die vierte und letzte Phase aktiviert eine Datendieb, spezialisiert auf den Diebstahl sensibler DatenDieses Modul, in einigen Analysen als macrasv2 bezeichnet, sammelt SQLite-Datenbanken mit Browser-Zugangsdaten, Session-Cookies, Informationen zu Wallet-Erweiterungen, macOS-Schlüsselbundeinträgen und allen anderen Daten, die einen direkten Zugriff auf Guthaben und interne Systeme ermöglichen könnten. Die Daten werden komprimiert und extern über die Telegram-Bot-API versendet.
Der Zusammenhang mit Kryptowährungsdiebstahl ist unmittelbar: Der macOS-Schlüsselbund kann enthalten private Schlüssel, Seed-Phrasen und Passwörter für AustauschplattformenIn Kombination mit aktiven Session-Cookies und Zugriffstoken ermöglichen diese Zugangsdaten Angreifern, auf die Gelder des Opfers zuzugreifen, ohne zusätzliche Protokolle zu verletzen oder sofortigen Verdacht zu erregen.
Telegram als Kanal für die Exfiltration und Selbstzerstörung von Malware
Ein besonders auffälliges Merkmal von Mach-O-Man ist die ausgiebige Verwendung von Telegram als Befehls- und DatenexfiltrationskanalDer Datendieb sendet die gestohlenen Daten, indem er Anfragen an die Bot-API der Plattform sendet und einen Teil seines Datenverkehrs als einen Dienst tarnt, den viele Organisationen legitim nutzen.
Die Forscher haben festgestellt Telegram-Bot-Tokens, eingebettet in BinärdateienDiese operative Lücke könnte ausgenutzt werden, um schädliche Kanäle zu überwachen oder sogar Teile der Kommando- und Kontrollinfrastruktur zu stören. Solange diese Bots jedoch aktiv sind, bleibt die Informationsübermittlung an die Lazarus-Operatoren relativ unauffällig.
Mach-O Man beinhaltet auch Merkmale von SelbstzerstörungNachdem sie ihre Hauptaufgaben erfüllt haben, führen viele Komponenten Löschbefehle wie `rm` aus und entfernen so lokale Spuren der Infektion. Wenn das betroffene Unternehmen ungewöhnliche Aktivitäten oder einen Diebstahl von Geldern feststellt, ist die Schadsoftware möglicherweise bereits vom Computer verschwunden.
Dieser Ansatz des „schnellen und sauberen Treffers“ verkompliziert die Sache erheblich. nachfolgende forensische AnalyseMangels eindeutiger Spuren im System müssen Sicherheitsteams auf Netzwerkprotokolle, Restsignale und Ereigniskorrelationen zurückgreifen, um den Vorfall zu rekonstruieren. In europäischen Umgebungen, wo Flotten von Macs von Neobanken, Zahlungsdienstleistern oder Managern tokenisierter Vermögenswerte verwaltet werden, erschwert dieses Fehlen eindeutiger Spuren die Messung des tatsächlichen Ausmaßes des von Angreifern erlangten Zugriffs.
Tatsächlich betonen Experten wie Natalie Newson, dass Viele Opfer sind sich dessen noch immer nicht bewusst. dass sie kompromittiert wurden. Und selbst wenn sie dies vermuten, werden sie nicht immer in der Lage sein, die spezifische Variante von Mach-O Man zu identifizieren oder den Umfang der kompromittierten Informationen zu bestimmen, was die Reaktions- und interne Kommunikationsphase zusätzlich erschwert.
Zusammenhang mit großen Raubüberfällen und Kontext für Europa und Spanien
Mach-O Man tauchte nicht aus dem Nichts auf: Es ist der jüngste Fall in einer langen Reihe von Angriffen, die Lazarus zugeschrieben werden und sich gegen das weltweite Krypto- und Fintech-Ökosystem richten. Dazu gehören massive Diebstähle von … DeFi-Protokolle, zentralisierte Börsen und Wallet-Anbieter, mit Summen, die in einigen Fällen eine Milliarde Dollar übersteigen.
Fälle wie der KelpDAO-Hack, der Drift-Exploit oder der Bybit-Angriff für etwa 1.400 Mio. Diese Vorfälle belegen Lazarus' Fähigkeit, tiefgreifende Infrastrukturkenntnisse mit extrem schnellen und präzisen Operationen zu verbinden. Auf einer anderen Ebene zeigen „kleinere“ Vorfälle, wie der Diebstahl von rund 100.000 US-Dollar von Zerion mithilfe KI-gestützter Social-Engineering-Techniken, dass die Gruppe gleichermaßen versiert in aufsehenerregenden Raubzügen und fortlaufenden, diskreteren, aber wiederholten Kampagnen ist.
In diesem Kontext passt Mach-O Man in eine Personenzentriertes AngriffsmodellStatt direkt den Code eines Smart Contracts anzugreifen, zielt die Kampagne auf diejenigen ab, die für die Verwaltung von Finanzmitteln, administrativen Schlüsseln und internen Zugriffsrechten verantwortlich sind. Das letztendliche Ziel bleibt dasselbe: die Gelder zu erbeuten, jedoch durch einen Angriff auf die menschlichen Akteure.
Für Europa, wo das Angebot an regulierten Kryptodienstleistungen und Fintech-Unternehmen der nächsten Generation deutlich zugenommen hat, bedeutet dies einen Wandel. Banken mit digitalen Bankabteilungen, Vermögensverwalter, die die Tokenisierung erforschen, und Zahlungsdienstleister, die Kryptodienstleistungen anbieten, teilen sich nun das Risiko mit reinen Web3-Börsen.
In Spanien gibt es Technologiezentren wie zum Beispiel Madrid, Barcelona, Valencia oder Malaga Sie konzentrieren sich auf Krypto-Startups, alternative Investmentplattformen und DeFi-Projekte mit einem signifikanten Engagement in digitalen Vermögenswerten. Viele dieser Akteure nutzen macOS intensiv in Management-, Compliance-, Geschäftsentwicklungs- und Betriebsfunktionen, was sie in die Position bringt, natürliches Radar von Kampagnen wie Mach-O Man.
Warum es so schwer zu erkennen ist: der menschliche Faktor als Schwachstelle
Einer der Schlüssel zum Erfolg von Mach-O Man ist, dass Es nutzt keine klassische technische Schwachstelle aus.Doch es ist eine menschliche Schwäche. Der Angriff beruht darauf, dass das Opfer einen Befehl in das Terminal seines Macs einfügt, in dem Glauben, ein Verbindungsproblem zu beheben oder einen dringenden Videoanruf zu bestätigen.
Herkömmliche Sicherheitskontrollen sind besser geeignet, um zu erkennen verdächtige Anhänge, nicht autorisierte ausführbare Dateien oder automatisierte Exploits als die Verhinderung eines legitimen Benutzerauftrags. Wenn der Befehl in einem glaubwürdigen Kontext eingeht – beispielsweise in einem kurzfristig anberaumten Treffen mit einem wichtigen Partner, einer vermeintlichen Benachrichtigung von Cloudflare oder einer Nachricht, die scheinbar von einem bekannten Anbieter stammt –, steigt die Wahrscheinlichkeit seiner Ausführung deutlich.
Die Kampagne nutzt eine weit verbreitete Realität in Technologie- und Finanzunternehmen aus: Enge Zeitpläne, ständige Videokonferenzen und Entscheidungen unter DruckIn diesem Umfeld erregt ein spontanes Treffen oder ein "routinemäßiger" technischer Schritt normalerweise nicht allzu viel Verdacht, insbesondere wenn er von einem Kanal wie Telegram ausgeht, wo viele Krypto-Communities täglich aktiv sind.
Ferner die Modulare Natur des Mach-O-Man Dies erschwert die Erstellung zuverlässiger statischer Signaturen. Analysten wie Vladimir S. haben mehrere Varianten des Angriffs entdeckt, was bedeutet, dass sich die Komponenten schnell ändern können, selbst wenn das Verhaltensmuster gleich bleibt. Wenn sich die Abwehrmaßnahmen ausschließlich auf klassische Indikatoren stützen, haben Angreifer weiterhin die Möglichkeit, ihre Kampagne anzupassen.
Zusätzlich zu all dem besitzt die Malware die Fähigkeit, wird nach Abschluss seiner Mission gelöschtWenn ein Abfluss von Geldern oder ungewöhnliche Aktivitäten in Firmenkonten festgestellt werden, sind die Spuren auf dem kompromittierten Mac möglicherweise minimal, was es schwieriger macht, den Vorfall schnell und genau Mach-O Man zuzuordnen.
Praktische Schritte für Krypto- und Fintech-Unternehmen, die macOS nutzen
Die Cybersicherheitsteams, die Mach-O-Man analysiert haben, haben eine Reihe von Bedenken geäußert. konkrete Empfehlungen für europäische und spanische Organisationen, die Macs in Positionen mit hoher Verantwortung und starkem Zugriff auf digitale Assets einsetzen.
Auf technischer Ebene wird empfohlen, Folgendes durchzuführen: regelmäßige Überprüfungen der LaunchAgents-Verzeichnisse Es wird nach verdächtigen Einträgen gesucht, wobei besonderes Augenmerk auf Verweise wie „com.onedrive.launcher.plist“ oder OneDrive-Prozesse gelegt wird, die von ungewöhnlichen Pfaden ausgeführt werden, beispielsweise versteckte Ordner mit Namen wie „Antivirus-Dienst“. Dieser Scan kann mithilfe von Skripten automatisiert oder in Flottenmanagement-Plattformen integriert werden.
Es wird auch empfohlen Überwachen oder beschränken Sie den Datenverkehr zur Telegram Bot API. Insbesondere in Unternehmensumgebungen, in denen der Einsatz von Telegram-Bots nicht gerechtfertigt ist, kann dies zu Problemen führen. Zwar lässt sich Telegram nicht immer vollständig blockieren, doch können feinere Kontrollmechanismen für diese Kommunikationsform eingerichtet werden, wodurch das Risiko des Datenabflusses verringert wird.
Im Bereich der inneren Wahrnehmung betonen Experten eine einfache, aber entscheidende Botschaft: Fügen Sie niemals einen Befehl von einer nicht verifizierten Webseite oder einem Meeting-Link in das Terminal ein.Diese Idee, die eigentlich selbstverständlich erscheinen mag, erfordert kontinuierliches Training, praktische Beispiele und Simulationen, insbesondere in Teams, die ständig in Eile sind und regelmäßig zu Videokonferenzen eingeladen werden.
Ein weiterer grundlegender Tipp ist Prüfen Sie über einen alternativen Kanal, ob dringende Einladungen vorliegen. Dazu gehören auch ungewöhnliche technische Schritte. Wenn Sie ein vermeintlicher Kollege bittet, einen Befehl im Terminal auszuführen, sollten Sie dies unbedingt per Firmen-E-Mail, internem Messenger oder Telefon bestätigen lassen, bevor Sie etwas unternehmen. Diese doppelte Überprüfung ist zwar etwas umständlich, verringert aber das Risiko, Betrügern wie ClickFix zum Opfer zu fallen, erheblich.
Abschließend wird Organisationen mit Sitz in Spanien und dem Rest der Europäischen Union empfohlen, … Integration von Engagementindikatoren im Zusammenhang mit Mach-O Man Ihre Erkennungs- und Reaktionswerkzeuge umfassen: Hashes identifizierter Binärdateien, zugehörige IP-Adressen, verdächtige Befehlsmuster im Terminal und Warnungen bei ungewöhnlich hohen CPU-Auslastungsspitzen in unbekannten Prozessen. Selbst wenn die Malware versucht, sich selbst zu zerstören, können diese Spuren helfen, Eindringversuche oder laufende Infektionen zu erkennen.
Die Mach-O-Man-Kampagne veranschaulicht das Ausmaß, in dem die Kombination aus modularer Malware, Social Engineering und verdeckten Datenexfiltrationskanälen Ein scheinbar harmloser Videoanruf kann so zum Auslöser eines kritischen Sicherheitsverstoßes werden. In einem zunehmend regulierten europäischen Umfeld mit wachsendem digitalen Kapital, insbesondere in spanischen Unternehmen, die macOS für ihre Entscheidungsprozesse nutzen, wird die Stärkung der Sicherheitskultur, die Vorsicht vor unüberlegten Befehlen und die Bestätigung von Notfällen über mehrere Kanäle immer wichtiger, um Zugangsdaten, Systeme und digitale Geldbörsen zu schützen.
