O Lazarus Group da Coreia do Norte está usando o malware macOS Mach-O Man e convites falsos para reuniões para sequestrar executivos de criptografia e financiar um ataque DeFi de nove dígitos.
resumo
CertiK sinalizou “Mach-O Man”, um kit de ferramentas macOS desenvolvido por Lazarus que está atacando executivos de criptografia e fintech. A campanha usa convites de reuniões falsos no estilo ClickFix para induzir as vítimas a colar comandos de terminal. Os pesquisadores vincularam o Lazarus a mais de US$ 500 milhões roubados do Drift e do KelpDAO em recentes ataques ao DeFi.
A organização de hackers patrocinada pelo estado norte-coreano Lazarus lançou uma nova campanha de malware macOS voltada diretamente para executivos dos setores de fintech e criptomoeda, de acordo com a empresa de segurança blockchain CertiK.
Apelidada de “Mach-O Man”, a operação espalha engenharia social e cargas úteis em nível de dispositivo para roubar criptomoedas e dados corporativos confidenciais, sem deixar quase nenhum rastro no disco.
De acordo com os pesquisadores da CertiK, a campanha é baseada na tecnologia ClickFix, onde as vítimas são atraídas a colar o que parece ser um comando de “reparar” ou “verificar” diretamente no terminal macOS durante um suporte falso ou fluxo de reunião. Nesse caso, a isca chega como um convite falso para uma reunião on-line que “induz a vítima a colar comandos de reparo maliciosos em seu dispositivo Mac”, e o kit de ferramentas é autoexcluído após o uso para impedir a análise forense, disse a análise da CertiK.
De acordo com a empresa de inteligência de ameaças SOC Prime, a estrutura “Mach-O Man” está vinculada à unidade Famous Chollima da Lazarus e distribuída por meio de contas comprometidas do Telegram e convites falsos para reuniões visando criptomoedas e instituições financeiras de alto valor. De acordo com o CoinDesk, o kit de ferramentas inclui vários binários Mach-O projetados para criar perfis de hosts, estabelecer persistência e exfiltrar credenciais e dados do navegador por meio de comando e controle baseados em Telegram.
Mandiant do Google Cloud descreveu anteriormente uma campanha macOS semelhante que combinava ClickFix com deepfakes de vídeo assistidos por IA, chamadas falsas de Zoom e contas de mensagens sequestradas para forçar os alvos a executar comandos ofuscados.
“Esta campanha aproveitou contas comprometidas do Telegram, reuniões falsas do Zoom e fraude baseada em IA para induzir as vítimas a executar comandos de terminal, desencadeando uma cadeia de infecção do macOS”, escreveram os pesquisadores da Mandiant.
Ataques DeFi financiam operações mais amplas
A pesquisadora da CertiK, Natalie Newson, vinculou a última onda de “Mach-O-Man” ao impulso mais amplo do Lazarus que desviou mais de US$ 500 milhões das plataformas DeFi Drift e KelpDAO em apenas duas semanas.
Nestes incidentes, a Lazarus alegadamente combinou engenharia social contra empresas comerciais com explorações sofisticadas entre cadeias, permitindo aos atacantes cunhar aproximadamente 116.500 rsETH, exfiltrando aproximadamente 292 milhões de dólares em valor.
LayerZero, que fornece a infraestrutura de ponte usada pela KelpDAO, disse que o Grupo Lazarus da Coreia do Norte era um “possível ator” por trás da exploração rsETH e culpou o design do verificador de ponto único de falha que permitiu as mensagens forjadas entre cadeias.
“Lazarus tem como alvo o ecossistema criptográfico há anos, roubando aproximadamente US$ 2 bilhões em ativos criptográficos em 2023 e 2024”, informou o canal de segurança SecurityWeek, citando campanhas anteriores habilitadas para ClickFix.
O DeFi já sofreu o que os pesquisadores chamam de o pior mês de hacks da história, e o mercado agora está efetivamente precificando outros US$ 100 milhões ou mais em explorações este ano, destacando como invasores ligados a estados-nação, como o Lazarus, estão se tornando mais sistemáticos em relação aos riscos criptográficos.
