Die mit Nordkorea in Verbindung stehende Hackergruppe Lazarus Group verbreitet ein neues natives MacOS-Malware-Kit, das Sicherheitsforscher „Mach-O Man“ nennen. Lazarus hat das Toolkit aus mehreren Go-basierten Mach-O-Binärdateien zusammengestellt und so konzipiert, dass es reibungslos auf modernen Apple-Silicon-Rechnern läuft, die von Entwicklern und Führungskräften genutzt werden. Den Forschern zufolge zielt die Kampagne vor allem auf hochwertige Unternehmensumgebungen in den Bereichen Fintech, Kryptowährungen und anderen finanznahen Sektoren ab.
Das Kit steht im Mittelpunkt einer laufenden Angriffsserie, die darauf abzielt, tiefen Zugriff auf Unternehmenssysteme zu erlangen und Zugangsdaten zu stehlen, wie aus einem technischen Artikel des Quetzal-Teams hervorgeht. Es sammelt Browsersitzungen, Tokens, die interne Tools oder Cloud-Dashboards öffnen, sowie Passwörter, die im macOS-Schlüsselbund gespeichert sind. Dadurch kann sich ein Angreifer über einen kompromittierten Mac Zugang zu Handelsabteilungen verschaffen.
Social Engineering beginnt mit „dringenden“ Einladungen zu Besprechungen
Das Mach-O-Man-Szenario beginnt mit Social Engineering statt mit offensichtlichen Phishing-E-Mails. Angreifer senden ihren Zielen über Apps wie Telegram „dringende“ Einladungen zu einem Zoom-, Google Meet- oder Teams-Anruf und leiten sie dann auf eine gefälschte, mit dem Meeting verbundene Website weiter. Dort behauptet die Seite, es gebe ein Verbindungsproblem, und fordert das Opfer auf, einen einzeiligen Befehl in das macOS-Terminal einzufügen, um das Problem zu „beheben“.
Durch die direkte Ausführung dieses Befehls installieren Nutzer erfolgreich die Malware und ermöglichen es ihr, mehrere Sicherheitsvorkehrungen des Unternehmens zu umgehen. Das Kit lädt dann weitere Payloads herunter, sorgt für Persistenz und beginnt, unbemerkt Daten vom Gerät zu stehlen. Analysten warnen, dass diese Technik der Erkennung durch herkömmliche Endpoint-Technologien entgehen könnte, da sie native Binärdateien und vom Nutzer initiierte Aktionen anstelle offensichtlicher Exploit-Ketten nutzt.
Warum Krypto- und Fintech-Unternehmen aufpassen sollten
Lazarus hat eine lange Geschichte, Kryptowährungsunternehmen ins Visier zu nehmen, darunter frühere AppleJeus-Kampagnen, bei denen gefälschte Handels-Apps missbraucht wurden, um Börsen zu kompromittieren. Analysten glauben, dass die Gruppe in früheren Jahren durch eine Mischung aus Börsen-Hacks und Angriffen auf die Lieferkette digitale Vermögenswerte im Wert von Hunderten von Millionen Dollar gestohlen hat. Das neue Mach-O Man-Toolkit zeigt, dass die Gruppe weiterhin in macOS-Malware investiert, da immer mehr Führungskräfte und Ingenieure Macs für ihre Arbeit nutzen.
Forscher sagen, dass Unternehmen mit Zugriff auf Hot-Wallets, Signaturschlüsseln oder hohen Guthaben dem höchsten Risiko ausgesetzt sind, da gestohlene Anmeldedaten oder Browsersitzungen es Angreifern ermöglichen könnten, Gelder zu bewegen, Auszahlungseinstellungen zu ändern oder in die Backoffice-Infrastruktur einzudringen, ohne die On-Chain-Abwehrmechanismen zu berühren. Sicherheitsteams in den Bereichen Krypto, Handel und Zahlungsverkehr sollten macOS-Endgeräte absichern, die Nutzung von Terminal einschränken und auf verdächtige Go-basierte Mach-O-Binärdateien achten.
WEITERLESEN: Die BitMine-Aktie steht kurz vor einem Kurssprung, da Tom Lee die 5-Prozent-Marke erreicht
