Исследователи в области безопасности обнаружили новый вредоносный набор "Mach-O Man", связанный с Lazarus Group - хакерами под контролем Северной Кореи. Атаки направлены на топ-менеджеров крипто-компаний и финтех-фирм, работающих на macOS. Жертву заманивают на поддельный видеозвонок, где предлагают выполнить одну команду в терминале - и злоумышленники получают полный доступ к системе.
Почему ClickFix сложно остановить
ClickFix обманывает людей, а не взламывает системы напрямую. Жертва получает приглашение на что-то похожее на корпоративную встречу. На странице встречи появляется "техническая ошибка" с просьбой исправить её через терминал. Человек сам запускает команду - злоумышленникам не нужно ничего ломать извне.
Мауро Элдрич, основатель компании по киберразведке BCA Ltd, восстановил этот набор инструментов через облачный sandbox Any.run и опубликовал технический отчет 22 апреля. По его данным, вирус загружается в фоновом режиме после запуска команды и полностью обходит традиционные средства защиты. Антивирус видит чистую системную команду, а не вредоносный файл - и ничего не блокирует.
Что собирает вирус и как исчезает
Финальный этап атаки - стилер, который извлекает данные браузерных расширений, сохраненные пароли, файлы cookies и записи macOS Keychain. Всё упаковывается в ZIP-архив и передается злоумышленникам через Telegram-бот. После передачи вирус самоуничтожается через системную команду rm, которая не запрашивает подтверждения у пользователя.
Жертва может так и не узнать о взломе - вредоносного файла уже нет. Цифровым следователям приходится анализировать сетевой трафик и журналы системы, чтобы вообще найти следы атаки. Последствия могут включать захват корпоративных аккаунтов, несанкционированный доступ к инфраструктуре и финансовые потери.
Группировка с миллиардным рекордом
Lazarus Group - главный подозреваемый в крупнейших крипто-кражах последних лет. В 2025 году хакеры похитили $1,4 млрд с биржи Bybit - это крупнейший одиночный взлом в истории крипто-отрасли. По подсчетам аналитиков, только за апрель 2026 года группировка унесла с рынка не менее $578 млн.
В начале апреля через похожую схему хакеры проникли в команду криптокошелька Zerion: получили доступ к активным сессиям, паролям и приватным ключам нескольких сотрудников. Ущерб составил около $100 000. Эта атака показала: Lazarus переключился с технических уязвимостей на человеческий фактор - и пока что выигрывает.
Кто под угрозой
Под удар попадают прежде всего топ-менеджеры и специалисты безопасности в крипто и финтех-секторе. Но любой сотрудник, которому приходят приглашения на видеозвонки от малознакомых контактов, может оказаться в роли жертвы. macOS не спасает - вирус специально создан под эту платформу.
- Приглашения на Zoom или Meet от незнакомцев - проверяйте отправителя до перехода по ссылке
- Любая команда в терминале во время звонка - это всегда тревожный сигнал, без исключений
- Ограничьте количество браузерных расширений - их данные собираются в первую очередь
- Двухфакторная аутентификация усложняет захват аккаунта даже после кражи пароля
Следов нет - это новая норма
Самоуничтожение вируса после сбора данных меняет подход к защите и расследованию. Традиционный антивирус ищет вредоносный файл. Но файла уже нет. Компаниям нужны системы мониторинга сетевого трафика в реальном времени и регулярное обучение персонала - а не только технический периметр.
Владельцы Bitcoin и других криптоактивов на корпоративных кошельках рискуют потерять средства не из-за уязвимости кода, а из-за одного неправильного клика. Именно это делает "Mach-O Man" одним из наиболее опасных инструментов в арсенале КНДР сегодня.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *