安全研究人员发现,与朝鲜背景的 Lazarus 组织有关的一场针对加密货币和金融科技公司的 macOS 恶意软件攻击活动。
据 Cointepltelegraph 报道,这款名为“Mach-O Man”的恶意软件套件利用“ClickFix”社会工程学手段渗透企业系统。
攻击者通过伪造的 Zoom 或 Google Meet 邀请诱导受害者。一旦用户加入这些虚假会议,系统会提示其执行特定命令,从而在后台下载恶意软件。
这种方法使攻击者能够绕过传统的安全控制而不被察觉。威胁情报公司 BCA Ltd 的创始人、进攻性安全专家 Mauro Eldritch 表示,该方案的目标既包括传统企业,也包括加密货币公司。
通过 Telegram 进行数据窃取
该攻击活动的最后阶段涉及一种专门设计的窃取程序,旨在从受感染设备中搜集敏感信息。
该恶意软件的目标包括浏览器扩展数据、存储的凭据、Cookie 以及 macOS Keychain(钥匙串)条目。数据收集完成后,该套件会将其打包成 zip 文件以便提取。
攻击者利用 Telegram 将窃取的数据传回其服务器。窃取完成后,程序会运行一个自删除脚本,利用系统的“rm”命令删除恶意软件套件,且无需用户确认或权限许可。
研究人员警告称,此类攻击可能导致账户被接管、未经授权的基础设施访问以及巨大的经济损失。Lazarus 组织向 macOS 攻击领域的扩张,表明其目标已不再局限于纯粹的加密原生领域。
Lazarus 组织此前已与多起重大的行业窃案有关,其中包括 2025 年发生的 Bybit 交易所 14 亿美元黑客攻击事件。近期报告还指出,该组织已开始利用人工智能驱动的社会工程学手段,从加密领域窃取资金。
