Дослiдники з безпеки виявили новий шкiдливий набiр "Mach-O Man", який пов'язують з Lazarus Group - хакерами пiд контролем Пiвнiчної Кореї. Атаки спрямованi на топ-менеджерiв крипто-компанiй та фiнтех-фiрм, якi користуються macOS. Жертву заманюють на пiдроблений вiдеодзвiнок, де змушують виконати одну команду в терминалi - i зловмисники отримують повний доступ до системи.
Чому ClickFix важко зупинити
ClickFix - це соцiальна iнженерiя, яка обманює людей, а не ламає системи напряму. Жертва отримує запрошення на нiбито корпоративну зустрiч. На сторiнцi з'являється "технiчна помилка" з проханням виправити її через термiнал. Людина запускає команду сама - зловмисникам не потрiбно нiчого ламати ззовнi.
Мауро Елдрич, засновник компанiї з кiберрозвiдки BCA Ltd, вiдновив цей набiр iнструментiв через хмарний sandbox Any.run i опублiкував технiчний звiт 22 квiтня. За його даними, вiрус завантажується у фоновому режимi пiсля запуску команди i повнiстю обходить традицiйнi засоби захисту. Антивiрус бачить чисту системну команду, а не шкiдливий файл - i нiчого не блокує.
Що збирає вiрус i як зникає
Фiнальний етап атаки - стiлер, який витягує данi браузерних розширень, збереженi паролi, файли cookies i записи macOS Keychain. Все це пакується у ZIP-архiв i передається зловмисникам через Telegram-бот. Пiсля передачi вiрус самознищується через системну команду rm, яка не запитує пiдтвердження вiд користувача.
Жертва може так i не дiзнатися про злом - шкiдливого файлу вже не iснує. Цифровим слiдчим доводиться аналiзувати мережевий трафiк i журнали системи, щоб взагалi знайти слiди атаки. Наслiдки можуть включати захоплення корпоративних акаунтiв, несанкцiонований доступ до iнфраструктури i фiнансовi втрати.
Угруповання з мiльярдним рекордом
Lazarus Group - головний пiдозрюваний у найбiльших крипто-крадiжках останнiх рокiв. У 2025 роцi хакери викрали $1,4 млрд з бiржi Bybit - це найбiльший одиничний злом в iсторiї крипто-галузi. За пiдрахунками аналiтикiв, лише за квiтень 2026 року угруповання забрало з ринку щонайменше $578 млн.
На початку квiтня через схожу схему хакери проникли у команду криптогаманця Zerion: отримали доступ до активних сесiй, паролiв i приватних ключiв кiлькох спiвробiтникiв. Збиток склав близько $100 000. Ця атака показала: Lazarus давно переключився з технiчних вразливостей на людський фактор - i поки що виграє.
Хто пiд загрозою
Пiд удар потрапляють насамперед топ-менеджери i фахiвцi безпеки в крипто та фiнтех-секторi. Але будь-який спiвробiтник, якому надходять запрошення на вiдеодзвiнки вiд малознайомих контактiв, може опинитися в ролi жертви. macOS не рятує - вiрус спецiально заточений пiд цю платформу.
- Запрошення на Zoom або Meet вiд незнайомцiв - перевiряйте вiдправника до переходу за посиланням
- Будь-яка команда в терминалi пiд час дзвiнка - це завжди тривожний сигнал, без винятку
- Обмежте кiлькiсть браузерних розширень - їхнi данi збираються в першу чергу
- Двофакторна автентифiкацiя ускладнює захоплення акаунту навiть пiсля крадiжки пароля
Слiдiв немає - це нова норма
Самознищення вiрусу пiсля збору даних змiнює пiдхiд до захисту i розслiдування. Традицiйний антивiрус шукає шкiдливий файл. Але файлу вже немає. Компанiям потрiбнi системи монiторингу мережевого трафiку в реальному часi i регулярне навчання персоналу - а не лише технiчний захист периметра.
Власники Bitcoin та iнших криптоактивiв на корпоративних гаманцях ризикують втратити кошти не через вразливiсть коду, а через один неправильний клiк. Саме це робить "Mach-O Man" одним з найнебезпечнiших iнструментiв у арсеналi КНДР сьогоднi.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *