FFeel.Trading
Danh sách tinPhần mềm độc hại Mach-O Man đánh cắp dữ liệu Keychain trên macOS trong chiến dịch tiền điện tử của Lazarus Group
Bitcoin.com2026-04-22 13:20:43

Phần mềm độc hại Mach-O Man đánh cắp dữ liệu Keychain trên macOS trong chiến dịch tiền điện tử của Lazarus Group

ORIGINALMach-O Man Malware Steals macOS Keychain Data in Lazarus Group Crypto Campaign
Phân tích tác động AIGrok đang phân tích...
📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯5130 từ
Lazarus Group của Triều Tiên đã triển khai một bộ công cụ mã độc macOS dạng mô-đun có tên là Mach-O Man, sử dụng các lời mời họp giả mạo để đánh cắp thông tin đăng nhập và quyền truy cập ví tiền điện tử từ các giám đốc điều hành và nhà phát triển fintech. Mã độc Mach-O Man đánh cắp dữ liệu Keychain trên macOS trong chiến dịch tiền điện tử của Lazarus Group Các điểm chính: - Lazarus Group của Triều Tiên đã triển khai mã độc Mach-O Man nhắm mục tiêu vào người dùng macOS trong lĩnh vực tiền điện tử và fintech vào tháng 4 năm 2026. - Quetzal Team của Bitso xác nhận bộ công cụ được biên dịch bằng Go này cho phép đánh cắp thông tin đăng nhập, truy cập Keychain và trích xuất dữ liệu thông qua bốn giai đoạn. - Các nhà nghiên cứu bảo mật đã kêu gọi các công ty vào ngày 22 tháng 4 năm 2026 chặn các bẫy ClickFix dựa trên Terminal và kiểm tra LaunchAgents đối với các tệp giả mạo Onedrive. Các nhà nghiên cứu vạch trần mã độc macOS của Triều Tiên nhắm vào các công ty tiền điện tử và Web3 tại Hoa Kỳ Các nhà nghiên cứu bảo mật tại Quetzal Team của Bitso, phối hợp cùng nền tảng sandbox ANY.RUN, đã công khai bộ công cụ này vào ngày 21 tháng 4 năm 2026 sau khi phân tích một chiến dịch mà họ đặt tên là “North Korea’s Safari”. Nhóm đã kết nối bộ công cụ này với các vụ trộm tiền điện tử quy mô lớn gần đây của Lazarus, bao gồm các cuộc tấn công vào KelpDAO và Drift, viện dẫn việc nhóm này liên tục nhắm mục tiêu vào những người dùng macOS có giá trị cao trong các vai trò Web3 và fintech. Mach-O Man được viết bằng Go và biên dịch dưới dạng tệp nhị phân Mach-O, giúp nó chạy tự nhiên trên cả máy tính Intel và Apple Silicon. Bộ công cụ này chạy qua bốn giai đoạn riêng biệt và được thiết kế để thu thập thông tin đăng nhập trình duyệt, các mục trong macOS Keychain và quyền truy cập tài khoản tiền điện tử trước khi tự xóa dấu vết. Sự lây nhiễm bắt đầu bằng kỹ thuật xã hội, không phải khai thác phần mềm. Những kẻ tấn công xâm nhập hoặc mạo danh các tài khoản Telegram thuộc về đồng nghiệp trong giới Web3 và tiền điện tử. Mục tiêu nhận được lời mời họp khẩn cấp qua Zoom, Microsoft Teams hoặc Google Meet, dẫn đến một trang web giả mạo đầy thuyết phục, chẳng hạn như update-teams.live hoặc livemicrosft.com. Trang web giả mạo hiển thị lỗi kết nối mô phỏng và hướng dẫn người dùng sao chép và dán lệnh Terminal để giải quyết. Kỹ thuật này, được gọi là Clickfix và được điều chỉnh cho macOS, dẫn dắt người dùng thực thi tệp giai đoạn đầu, teamsSDK.bin, thông qua curl. Vì người dùng tự chạy lệnh theo cách thủ công, macOS Gatekeeper không chặn nó. Giai đoạn đầu tải xuống một gói ứng dụng giả mạo, áp dụng ký mã ad-hoc để làm cho nó trông có vẻ hợp pháp và yêu cầu người dùng nhập mật khẩu macOS. Cửa sổ sẽ rung lên trong hai lần thử đầu tiên và chấp nhận thông tin đăng nhập ở lần thứ ba, một lựa chọn thiết kế có chủ đích để xây dựng lòng tin giả tạo. Từ đó, báo cáo của các nhà nghiên cứu và các tài khoản khác cho biết một tệp nhị phân profiler liệt kê tên máy chủ, UUID, CPU, chi tiết hệ điều hành, các tiến trình đang chạy và các tiện ích mở rộng trình duyệt trên Brave, Chrome, Firefox, Safari, Opera và Vivaldi. Các nhà nghiên cứu lưu ý rằng profiler chứa một lỗi mã hóa tạo ra vòng lặp vô hạn, gây ra các đợt tăng đột biến CPU đáng chú ý có thể làm lộ sự lây nhiễm đang hoạt động. Một mô-đun duy trì sau đó thả một tệp được đổi tên thành Onedrive vào một đường dẫn ẩn trong thư mục có nhãn “Antivirus Service” và đăng ký một Launchagent có tên com.onedrive.launcher.plist để nó tự động chạy khi đăng nhập. Giai đoạn cuối cùng, một tệp nhị phân đánh cắp có nhãn macrasv2, thu thập dữ liệu tiện ích mở rộng trình duyệt, cơ sở dữ liệu thông tin đăng nhập SQLite và các mục Keychain, nén chúng thành tệp zip và trích xuất gói qua Telegram Bot API. Các nhà nghiên cứu đã tìm thấy token Telegram bot bị lộ trong tệp nhị
Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (Bitcoin.com)
🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin
2026-04-22
Phần mềm độc hại macOS liên quan đến Lazarus tấn công các công ty crypto và fintech
Độ tương đồng 230%關鍵字 malware/macos/crypto
2026-04-22
Lazarus Group đã trở nên đặc biệt nguy hiểm với cuộc tấn công Mach-O Man mới: CertiK
Độ tương đồng 230%關鍵字 group/man/lazarus
2026-04-22
Người dùng Mac của Apple hãy cẩn thận! Tin tặc Triều Tiên Lazarus tung ra phần mềm độc hại mới "Mach-O Man": Chỉ cần một thao tác là chiếm quyền kiểm soát máy tính của bạn
Độ tương đồng 180%關鍵字 man/lazarus/mach
2026-04-30
Người dùng X ghét Crypto: Dữ liệu Snooze tiết lộ các chủ đề bị tắt thông báo hàng đầu
Độ tương đồng 130%關鍵字 data/crypto
2026-04-29
FBI điều tra vụ mất tích của một người đàn ông sau khi 1 triệu USD biến mất vào các giao dịch mua vàng và Crypto
Độ tương đồng 130%關鍵字 crypto/man
2026-04-25
Bộ Tư pháp Mỹ (US DOJ) tuyên án 70 tháng tù đối với một người đàn ông vì vai trò trong nhóm lừa đảo 263 triệu USD
Độ tương đồng 130%關鍵字 man/group
💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding
Thông tin gốc
ID:9a8da10988
Nguồn:Bitcoin.com
Đăng:2026-04-22 13:20:43
Danh mục:Chung · Danh mục xuất neutral
Tài sản:Chưa chỉ định
Bình chọn cộng đồng:+0 /0 · ⭐ 0 quan trọng · 💬 0 bình luận