根據 Mauro Eldritch 的分析報告，本次攻擊採用 ClickFix 手法：攻擊者通過 Telegram（使用已被入侵的聯絡人帳號）發送偽裝成合法會議邀請的連結，將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站，並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。

攻擊目標資料包括：瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據，以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩；報告指出攻擊者暴露了 Telegram 機器人令牌（OPSEC 失誤），削弱了其行動安全性。

攻擊對象主要為金融科技及加密貨幣行業，以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。

Mach-O Man 工具包主要組件

根據 Mauro Eldritch 的技術分析，工具包由以下主要模組構成：

teamsSDK.bin：初始植入器，偽裝為 Teams、Zoom、Google 或系統應用，執行基本系統指紋識別

D1{隨機字串}.bin：系統分析器，收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器

minst2.bin：持久化模組，建立偽裝「Antivirus Service」目錄及 LaunchAgent，確保每次登入後持續執行

macrasv2：最終竊取器，收集瀏覽器憑證、Cookie 及 macOS Keychain 條目，打包後通過 Telegram 外洩並自我刪除

關鍵入侵指標（IOC）摘要

根據 Mauro Eldritch 報告發布的 IOC：

惡意 IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

惡意域名：update-teams[.]live / livemicrosft[.]com

關鍵文件（部分）： teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通訊端口： 8888 及 9999；主要使用 Go HTTP 用戶端 User-Agent 特徵字符串

完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。

常見問題

「Mach-O Man」工具包針對哪些行業和目標？

根據慢霧 23pds 的警示及 BCA LTD 的研究，「Mach-O Man」主要針對金融科技和加密貨幣行業，以及 macOS 廣泛使用的高價值企業環境，特別是開發者、高管和決策者群體。

攻擊者如何誘導 macOS 用戶執行惡意命令？

根據 Mauro Eldritch 的分析，攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結，將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站，提示用戶在 macOS 終端執行命令以「修復」連線問題，從而觸發惡意軟體安裝。

「Mach-O Man」如何實現數據外洩？

根據 Mauro Eldritch 的技術分析，最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包，通過 Telegram Bot API 外洩；同時攻擊者採用自我刪除腳本清除系統痕跡。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

摩根大通：DeFi 安全漏洞利用与停滞的 TVL 限制机构采用

以太坊新闻 USDT 新闻安全事件平台风险链上数据行业报告

Gate News 消息，4月23日——摩根大通分析师、由董事总经理 Nikolaos Panigirtzoglou 领队表示，持续存在的去中心化金融 (DeFi) 漏洞利用以及增长乏力，继续限制机构对该领域的兴趣。根据周三的报告，近期 Kelp DAO 黑客攻击已在短短几天内从 DeFi 的总价值锁定 $20 TVL 中抹去约十亿美元

GateNews1小时前

美国因加密骗局网络制裁柬埔寨参议员

地缘政治执法行动安全事件

美国财政部外国资产控制办公室 (OFAC) 根据周四发布的一份 OFAC 声明，对柬埔寨参议员柯安及其关联的 28 名个人和实体实施了制裁，原因是他们运营针对美国人的加密货币诈骗网络。该制裁是在警方对两起诈骗

Crypto Frontier1小时前

Aave 为降低系统性风险在以太坊、Arbitrum 和其他网络上暂停 rsETH 储备运营

以太坊新闻项目进展安全事件平台风险

Gate News 消息，4月23日——Aave 宣布已暂停在以太坊主网、Arbitrum、Base、Mantle 和 Linea 网络上的 rsETH 储备相关运营，以在资产回收过程中降低系统性风险。该措施旨在在恢复计划推进期间保留更多资金

GateNews3小时前

摩根大通：DeFi 黑客频传与 TVL 停滞压缩机制引发兴趣，资金转投 USDT

监管政策安全事件链上数据行业报告

摩根大通报告认为DeFi持续漏洞、跨链桥与预言机攻击频繁，致使TVL停滞、削弱机构投资意愿，资金转向可追踪、可冻结的USDT。KelpDAO与Rhea Finance的攻击揭示了风控风险；中心化稳定币与托管更受青睐；长期要改善需超越保險与治理，DeFi难回到2021年高TVL，稳定币将更集中。

鏈新聞abmedia3小时前

Circle首席经济学家提议在Aave上因KelpDAO后果上调USDC利率

以太坊新闻 USDT 新闻项目进展合作与生态安全事件链上数据

Gate News消息，4月23日——Circle首席经济学家Gordon Liao本周在Aave v3 Ethereum Core上提出上调USDC借贷参数，此前$292 百万美元KelpDAO rsETH被利用事件在整个协议引发了流动性危机。Liao的征求意见（Request for Comment）建议将“Slope 2”提高至40%，目标为50%，并下调最佳利用率以吸引新存款、缓解市场压力。该提案源于Aave的USDC池承受的急剧压力：该池已在四天内基本保持满利用率。Liao认为，在当前约14%的利率水平下，偿还款几乎完全被排队中的赎回吸收，而不是恢复可用流动性。KelpDAO事件已在DeFi市场中连锁蔓延，导致Aave的总锁定价值（TVL）从被利用事件发生前的十亿美元以上骤降至约15.3十亿美元，且在核心市场中出现大幅赎回和持续的利用率压力。 Aave治理论坛上的社区反馈迅速引发了清算担忧。针对该提案分享的分析发现，目标利率曲线可能会在30天内将约7001万美元的相关债务更接近清算，其中一个大型钱包承担了大部分敞口。批评者认为，更陡峭的利率会把痛点从那些卡在赎回队列中的出借方转移到使用较薄的健康度（health-factor）缓冲运行的借款方。此外，一些社区成员也质疑：作为USDC发行方的Circle，为什么不提供直接的流动性支持，而是选择追求基于治理的解决方案。Liao指出，他的帖子只反映“个人观点，仅供参考，不代表Circle的立场”。与此同时，链上分析师EmberCN报道称，KelpDAO攻击者已在约一天半内将其仍掌控的全部约75,700 ETH——约百万美元——换成比特币，主要通过THORChain完成。该活动产生了约百万美元的THORChain交易量，以及约91万美元的费用。

GateNews4小时前

大型 CEX 使用机器学习与规则引擎升级欺诈检测系统，将响应时间缩短至数小时

安全事件 AI 工具应用

Gate News 消息，4月23日——一家大型中心化交易所宣布，通过将机器学习模型与基于规则的引擎集成来彻底改造其反欺诈系统，并实施“双轨”策略：模型负责长期防御，规则则支持快速响应。统一框架

GateNews4小时前

0/400

暂无评论