В зоне риска — пользователи macOS

Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич. 

Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировка Famous Chollima. 

Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании.

Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением».

Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram.

Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам. 

Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно. 

Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки. 

Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.