Le directeur de la sécurité de l’information de Mandiant 23pds, a publié le 22 avril une alerte indiquant que le groupe de pirates nord-coréen Lazarus Group a mis en circulation un tout nouvel ensemble d’outils de logiciels malveillants natifs pour macOS, baptisé « Mach-O Man », conçu spécifiquement pour le secteur des cryptomonnaies et pour des cadres dirigeants d’entreprises à forte valeur.
Méthodes d’attaque et cibles
D’après le rapport d’analyse de Mauro Eldritch, cette attaque utilise la technique ClickFix : l’attaquant envoie, via Telegram (en utilisant des comptes de contacts qui ont été compromis), des liens déguisés en invitations à des réunions légitimes, afin d’amener la cible vers un faux site imitant Zoom, Microsoft Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion. Cette opération permet à l’attaquant d’obtenir un accès aux systèmes sans déclencher les mesures de sécurité classiques.
Les données visées par l’attaque comprennent : les identifiants et cookies stockés par le navigateur, les données du trousseau Keychain de macOS, ainsi que les données d’extensions des navigateurs comme Brave, Vivaldi, Opera, Chrome, Firefox et Safari. Les données exfiltrées sont divulguées via l’API Telegram Bot. Le rapport indique que l’attaquant a exposé des jetons de son bot Telegram (erreur OPSEC), ce qui affaiblit sa sécurité opérationnelle.
Les cibles de l’attaque sont principalement des développeurs, cadres et décideurs évoluant dans des environnements d’entreprises à forte valeur utilisant largement macOS, notamment dans la fintech et l’industrie des cryptomonnaies.
Principaux composants de l’ensemble d’outils Mach-O Man
D’après l’analyse technique de Mauro Eldritch, la trousse est composée des modules principaux suivants :
teamsSDK.bin : l’implanteur initial, déguisé en Teams, Zoom, Google ou en application système, et chargé de l’identification de base de l’empreinte système
D1{chaîne de caractères aléatoire}.bin : l’analyseur système, qui collecte le nom de l’hôte, le type de CPU, les informations du système d’exploitation ainsi que la liste des extensions de navigateur, puis les envoie au serveur C2
minst2.bin : le module de persistance, qui crée les répertoires et LaunchAgent du déguisement « Antivirus Service » afin d’assurer une exécution continue après chaque connexion
macrasv2 : le voleur final, qui collecte les identifiants de navigateur, les cookies et les entrées du trousseau macOS Keychain, puis empaquette les éléments avant de les exfiltrer via Telegram et de se supprimer lui-même
Résumé des indicateurs clés d’intrusion (IOC)
D’après les IOC publiées dans le rapport de Mauro Eldritch :
IP malveillante : 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Nom de domaine malveillant : update-teams[.]live / livemicrosft[.]com
Fichiers clés (partiel) : teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Ports de communication C2 : 8888 et 9999 ; utilisation principalement de la chaîne caractéristique User-Agent du client HTTP Go
Les valeurs de hachage complètes et la matrice ATT&CK sont consultables dans le rapport de recherche original de Mauro Eldritch.
Questions fréquentes
À quelles industries et à quels objectifs le kit « Mach-O Man » est-il destiné ?
D’après l’alerte de Mandiant 23pds et la recherche de BCA LTD, « Mach-O Man » cible principalement l’industrie de la fintech et des cryptomonnaies, ainsi que les environnements d’entreprises à forte valeur où macOS est largement utilisé, en particulier les groupes de développeurs, cadres et décideurs.
Comment les attaquants incitent-ils les utilisateurs macOS à exécuter des commandes malveillantes ?
D’après l’analyse de Mauro Eldritch, l’attaquant envoie via Telegram des liens déguisés en invitations à des réunions légitimes, ce qui amène l’utilisateur à visiter de faux sites imitant Zoom, Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion, déclenchant ainsi l’installation du logiciel malveillant.
Comment « Mach-O Man » réalise-t-il l’exfiltration des données ?
D’après l’analyse technique de Mauro Eldritch, le module final macrasv2 collecte les identifiants de navigateur, les cookies et les données du trousseau macOS Keychain, puis les empaquette avant de les exfiltrer via Telegram Bot API ; en parallèle, l’attaquant utilise un script de suppression automatique pour effacer les traces du système.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
TRADOOR Token Crashes 90% in 30 Minutes Amid Suspected Price Manipulation and Wash Trading
Gate News message, April 25 — TRADOOR token experienced a sharp 90% price crash over 30 minutes at 2:00 AM today, according to on-chain analyst Specter. The token had surged as much as 900% since March 2026 before the sudden collapse, raising suspicions of price manipulation and coordinated
GateNewsIl y a 43m
Le protocole de prêt Purrlend subit une attaque et perd 1,52 million de dollars sur MegaETH et HyperEVM
Message de Gate News, 25 avril — Le protocole de prêt Purrlend a été la cible d’attaques sur les réseaux MegaETH et HyperEVM aujourd’hui, entraînant des pertes d’environ 1,52 million de dollars.
Les attaquants ont extrait environ 1,2 million de dollars d’actifs du réseau HyperEVM, incluant 449,683 USDC, 214,125
GateNewsIl y a 1h
Ben Pasternak arrêté pour agression dans un hôtel à New York, dans le contexte d’un procès pour fraude $54M en crypto, concernant le jeton Believe
Message de Gate News, 25 avril — Ben Pasternak, l’entrepreneur australien de 26 ans à l’origine de la plateforme SocialFi Believe basée sur Solana, a été arrêté le 22 avril et inculpé pour strangulation au deuxième degré et pour deux chefs d’agression au troisième degré, à la suite d’une altercation physique présumée avec son ex-petite amie, son ex-g
GateNewsIl y a 2h
Le chercheur indépendant casse une clé ECC de 15 bits et remporte une récompense Bitcoin de Project Eleven
Message d’actualité Gate News, 25 avril — Le chercheur indépendant Giancarlo Lelli a réussi à casser une clé de chiffrement ECC de 15 bits protégeant Bitcoin et a reçu le prix Q-Day ainsi que 1 BTC de la startup de sécurité quantique Project Eleven.
Lelli a utilisé du matériel matériel quantique disponible publiquement et une variante de l’
GateNewsIl y a 3h
Blanchisseur de cryptomonnaie californien de 22 ans condamné à 70 mois pour le schéma de $263M fraude
Message de Gate News, 25 avril — Evan Tangeman, 22 ans, originaire de Newport Beach, en Californie, a été condamné à 70 mois de prison le 24 avril pour son rôle dans le blanchiment de $263 million obtenu dans le cadre d’un vaste stratagème de fraude en cryptomonnaie. Le tribunal de district des États-Unis à Washington, D.C., a prononcé la sentence
GateNewsIl y a 4h
Les autorités colombiennes et américaines démantèlent un réseau de blanchiment en crypto lié au CJNG d’une valeur de 190 M$
Message de Gate News, 25 avril — Les agences colombiennes et américaines chargées de l’application de la loi ont démantelé conjointement un réseau transnational de blanchiment d’argent en cryptomonnaies lié au cartel de la Nouvelle Génération de Jalisco du Mexique (CJNG). Le réseau a transféré plus de $190 millions de fonds illicites via des canaux crypto
GateNewsIl y a 7h
