" «Северокорейская государственная группа Lazarus Group проводит новую кампанию под названием «Mach-O Man», которая превращает обычную деловую переписку в прямой путь к краже учетных данных и потере информации», - предупредили в среду эксперты по безопасности.
Как сообщила в среду CoinDesk Натали Ньюсон, старший исследователь безопасности блокчейна в CertiK, эта группа, совокупные потери из-за действий которой с 2017 года оцениваются в 6 700 000 000 долларов, нацелена на руководителей и компании в сфере финансовых технологий, криптовалют и других высокопоставленных лиц.
Только за последние две недели северокорейские хакеры похитили более 500 000 000 долларов, используя уязвимости Drift и KelpDAO, что, по всей видимости, является продолжительной кампанией.
«Криптовалютной индустрии необходимо начать рассматривать Lazarus так же, как банки рассматривают государственных киберпреступников: как постоянную и хорошо финансируемую угрозу, а не просто очередной новостной заголовок, - сказала Ньюсон. - Что сейчас делает Lazarus особенно опасным, так это уровень их активности. KelpDAO, Drift, а теперь и новый набор вредоносных программ для macOS - все это в течение одного месяца. Это не случайный взлом; это управляемая государством финансовая операция, которая работает в масштабе и со скоростью, типичными для государственных учреждений».
По ее словам, Северная Корея превратила кражу криптовалюты в прибыльную национальную индустрию, и Mach-O Man - лишь последний продукт этого процесса:
«Хотя Lazarus создал его, другие киберпреступные группы его также используют. Это модульный набор вредоносных программ для macOS, созданный печально известным подразделением Chollima компании Lazarus Group. Он использует нативные бинарные файлы Mach-O, адаптированные для сред Apple, где работают криптовалюты и финтех-компании».
Ньюсон отметила, что Mach-O Man использует метод доставки, известный как ClickFix.
«Важно это уточнить, потому что многие источники путают две разные вещи», - подчеркнула она.
ClickFix - это метод социальной инженерии, при котором жертве предлагается вставить команду в свой терминал для исправления имитируемой проблемы с подключением.
По словам Мауро Элдрича, эксперта по безопасности и основателя компании BCA Ltd., занимающейся анализом угроз, Lazarus отправляет руководителям «срочное» приглашение на встречу через Telegram для звонка в Zoom, Microsoft Teams или Google Meet.
Ссылка ведет на поддельный, но убедительный веб-сайт, который инструктирует их скопировать и вставить одну простую команду в терминал своего Mac, чтобы «исправить проблему с подключением». Таким образом, жертвы получают немедленный доступ к корпоративным системам, платформам SaaS и финансовым ресурсам. К тому времени, как они узнают о взломе, обычно уже слишком поздно.
Существует несколько вариаций этой атаки, - заявил исследователь угроз безопасности Владимир С. на X. - Уже есть случаи, когда злоумышленники захватывали домены проектов децентрализованных финансов (DeFi) с помощью этого нового вредоносного ПО, заменяя их веб-сайты поддельным сообщением от Cloudflare, в котором им предлагалось ввести команду для предоставления доступа.
«Эти поддельные «шаги проверки» направляют жертв через сочетания клавиш, которые запускают вредоносную команду, - сказала Ньюсон из Certik. - Страница выглядит настоящей, инструкции кажутся обычными, и жертва сама инициирует действие - именно поэтому люди часто это упускают из виду традиционные средства защиты».
Большинство жертв этой хакерской атаки не поймут, что их безопасность нарушена, пока ущерб не будет нанесен, к тому времени вредоносное ПО уже успеет самоуничтожиться.
