Chính viên phụ trách an ninh thông tin của Muxu 23pds đã công bố cảnh báo vào ngày 22 tháng 4, cho biết nhóm tin tặc Triều Tiên Lazarus Group đã phát hành một bộ công cụ mã độc nguyên sinh mới cho macOS mang tên “Mach-O Man”, được thiết kế chuyên nhắm vào ngành công nghiệp tiền mã hóa và các giám đốc điều hành doanh nghiệp giá trị cao.
Phương thức tấn công và mục tiêu
Theo báo cáo phân tích của Mauro Eldritch, lần tấn công này sử dụng kỹ thuật ClickFix: kẻ tấn công gửi một liên kết được ngụy trang thành lời mời họp hợp lệ thông qua Telegram (sử dụng tài khoản liên hệ đã bị xâm nhập), dẫn mục tiêu đến một trang web giả mạo như Zoom, Microsoft Teams hoặc Google Meet, đồng thời nhắc người dùng chạy lệnh trên terminal macOS để “khắc phục” sự cố kết nối. Thao tác này giúp kẻ tấn công giành được quyền truy cập vào hệ thống mà không kích hoạt các biện pháp kiểm soát an ninh truyền thống.
Dữ liệu mục tiêu bị nhắm đến bao gồm: các chứng chỉ và Cookie được lưu trong trình duyệt, dữ liệu Keychain trên macOS, và dữ liệu tiện ích mở rộng của các trình duyệt như Brave, Vivaldi, Opera, Chrome, Firefox và Safari. Dữ liệu bị đánh cắp được rò rỉ thông qua Telegram Bot API; báo cáo cho biết kẻ tấn công đã lộ token của bot Telegram (lỗi OPSEC), làm suy giảm tính an toàn trong hoạt động của chúng.
Đối tượng tấn công chủ yếu là các nhà phát triển, giám đốc điều hành và người ra quyết định trong môi trường doanh nghiệp giá trị cao nơi macOS được sử dụng rộng rãi, đặc biệt là trong ngành công nghệ tài chính và tiền mã hóa.
Các thành phần chính của bộ công cụ Mach-O Man
Theo phân tích kỹ thuật của Mauro Eldritch, bộ công cụ được cấu thành từ các mô-đun chính sau:
teamsSDK.bin: bộ cấy ban đầu, ngụy trang thành Teams, Zoom, Google hoặc ứng dụng hệ thống, thực hiện nhận dạng vân tay hệ thống cơ bản
D1{chuỗi ký tự ngẫu nhiên}.bin: bộ phân tích hệ thống, thu thập tên máy chủ, loại CPU, thông tin hệ điều hành và danh sách tiện ích mở rộng trình duyệt rồi gửi đến máy chủ C2
minst2.bin: mô-đun duy trì tính tồn tại, tạo thư mục ngụy trang “Antivirus Service” và LaunchAgent, đảm bảo thực thi liên tục sau mỗi lần đăng nhập
macrasv2: bộ đánh cắp cuối cùng, thu thập chứng chỉ trình duyệt, Cookie và các mục trong macOS Keychain, đóng gói sau đó rò rỉ qua Telegram và tự xóa
Tóm tắt các chỉ báo xâm nhập quan trọng (IOC)
Theo các IOC được Mauro Eldritch công bố trong báo cáo:
IP độc hại: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Tên miền độc hại: update-teams[.]live / livemicrosft[.]com
Tệp quan trọng (một phần): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Cổng giao tiếp C2: 8888 và 9999; chủ yếu sử dụng đặc trưng chuỗi User-Agent của Go HTTP client
Giá trị băm đầy đủ và ma trận ATT&CK xem chi tiết trong báo cáo nghiên cứu gốc của Mauro Eldritch.
Câu hỏi thường gặp
“Mach-O Man” nhắm vào những ngành và mục tiêu nào?
Theo cảnh báo của Muxu 23pds và nghiên cứu của BCA LTD, “Mach-O Man” chủ yếu nhắm vào ngành công nghệ tài chính và tiền mã hóa, cũng như môi trường doanh nghiệp giá trị cao nơi macOS được sử dụng rộng rãi, đặc biệt là nhóm nhà phát triển, giám đốc điều hành và người ra quyết định.
Kẻ tấn công dụ dỗ người dùng macOS thực thi lệnh độc hại như thế nào?
Theo phân tích của Mauro Eldritch, kẻ tấn công gửi qua Telegram các liên kết được ngụy trang thành lời mời họp hợp lệ, dẫn người dùng đến các trang web giả mạo như Zoom, Teams hoặc Google Meet, đồng thời nhắc người dùng thực thi lệnh trên terminal macOS để “khắc phục” sự cố kết nối, từ đó kích hoạt quá trình cài đặt mã độc.
“Mach-O Man” thực hiện rò rỉ dữ liệu như thế nào?
Theo phân tích kỹ thuật của Mauro Eldritch, mô-đun cuối cùng macrasv2 thu thập chứng chỉ trình duyệt, Cookie và dữ liệu Keychain trên macOS, sau đó đóng gói và rò rỉ qua Telegram Bot API; đồng thời kẻ tấn công sử dụng các script tự xóa để xóa dấu vết hệ thống.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
SlowMist Cảnh Báo: Malware macOS MacSync Stealer Đang Hoạt Động nhắm vào Người Dùng Crypto
SlowMist cảnh báo về MacSync Stealer (v1.1.2) trên macOS, phần mềm đánh cắp thông tin trộm ví, thông tin đăng nhập, chuỗi khóa hệ thống và khóa hạ tầng, sử dụng các lời nhắc AppleScript giả mạo và các lỗi giả 'unsupported'; kêu gọi cảnh giác và chú ý các IOCs.
Tóm tắt: Báo cáo này tóm lược cảnh báo của SlowMist về MacSync Stealer (v1.1.2), một phần mềm đánh cắp thông tin trên macOS nhắm vào ví tiền mã hóa, thông tin đăng nhập trình duyệt, chuỗi khóa hệ thống và các khóa hạ tầng (SSH, AWS, Kubernetes). Nó lừa người dùng bằng các hộp thoại AppleScript giả mạo, yêu cầu nhập mật khẩu và hiển thị các thông báo giả 'unsupported' được thấy rõ. SlowMist cung cấp các IOCs cho khách hàng và khuyến cáo tránh chạy các script macOS chưa được xác minh cũng như luôn cảnh giác trước các lời nhắc mật khẩu bất thường.
GateNews3phút trước
Nhóm Lazarus Triều Tiên Triển Khai Phần Mềm Độc Hại Mach-O Man để Đánh Cắp Thông Tin Ví Crypto Từ Người Dùng macOS
Lazarus phát hành Mach-O Man cho macOS để đánh cắp dữ liệu keychain và thông tin đăng nhập ví, nhắm mục tiêu các giám đốc điều hành crypto thông qua các cửa sổ bật lên ClickFix và các cuộc họp Telegram bị xâm nhập.
Tóm tắt: Bài viết cho biết phần mềm độc hại Mach-O Man liên quan đến Lazarus nhắm mục tiêu macOS để trích xuất dữ liệu keychain, thông tin đăng nhập trình duyệt và phiên đăng nhập nhằm truy cập ví tiền điện tử và tài khoản sàn giao dịch. Việc phân phối dựa vào kỹ thuật lừa đảo xã hội ClickFix và các tài khoản Telegram bị xâm nhập, dẫn nạn nhân đến các liên kết họp giả. Bài viết liên kết chiến dịch này với vụ hack Kelp DAO ngày 20 tháng 4 và xác định TraderTraitor là tổ chức liên kết với Lazarus, đồng thời ghi nhận sự dịch chuyển rsETH trên nhiều blockchain thông qua chuẩn OFT của LayerZero.
GateNews38phút trước
ZachXBT Cảnh Báo Tránh ATM Bitcoin Depot Với Mức Chênh Lệch Trên 44% Đối Với Bitcoin
ZachXBT cảnh báo các máy ATM Bitcoin Depot áp đặt mức phí chênh lệch cao—$25k tiền pháp định ở mức 108k USD/BTC so với ~$75k giá thị trường (khoảng 44%), dẫn đến ~ mức lỗ 7,5k USD trên 0,232 BTC; đồng thời cho biết đã có vụ vi phạm bảo mật trị giá 3,26 triệu USD.
Bài viết này tóm tắt các cảnh báo của ZachXBT về chính sách định giá của Bitcoin Depot và một vụ vi phạm bảo mật gần đây, nêu bật rủi ro đối với người dùng từ mức phí tăng cao và các lỗ hổng bảo mật.
GateNews2giờ trước
Giao thức Quyền Riêng Tư Umbra Tắt Frontend để Ngăn Kẻ Tấn Công Rửa Tiền Kelp Bị Đánh Cắp
Tin tức từ Gate, ngày 22 tháng 4 — Giao thức quyền riêng tư Umbra đã tắt trang web frontend của mình để ngăn kẻ tấn công sử dụng giao thức này nhằm chuyển các khoản tiền bị đánh cắp sau các cuộc tấn công gần đây, bao gồm vụ vi phạm giao thức Kelp dẫn đến thiệt hại vượt quá $280 triệu. Khoảng $800,000 trong số tiền bị đánh cắp đã được chuyển thông qua
GateNews4giờ trước
Kẻ tấn công của Venus Protocol chuyển 2301 ETH, chuyển vào Tornado Cash để rửa tiền
Theo giám sát của nhà phân tích on-chain Ai dì vào ngày 22 tháng 4, kẻ tấn công của Venus Protocol đã chuyển 2.301 ETH (khoảng 5,32 triệu USD) từ cách đây 11 giờ vào địa chỉ 0xa21…23A7f, sau đó chuyển tiền vào bộ trộn tiền mã hóa Tornado Cash theo từng đợt để làm sạch; tính đến thời điểm theo dõi, kẻ tấn công vẫn đang nắm giữ khoảng 17,45 triệu USD ETH trên chuỗi.
MarketWhisper7giờ trước
