安全研究人员近日披露,朝鲜黑客组织Lazarus已部署一款名为Mach-O Man的新型模块化macOS恶意软件,专门针对加密货币和金融科技领域的高管与开发者。该工具通过虚假会议邀请进行社会工程攻击,窃取浏览器凭证、钥匙串数据以及加密货币钱包访问权限。
攻击流程:四阶段渗透
据Bitso安全团队Quetzal与ANY.RUN沙盒平台联合分析,Mach-O Man用Go语言编写,编译成Mach-O二进制文件,兼容Intel和Apple Silicon芯片。攻击分为四个阶段:
第一阶段:攻击者通过盗取或仿冒受害者在Telegram上的同事账号,发送紧急会议邀请链接(如Zoom、Teams或Google Meet),指向伪造网站(如update-teams.live或livemicrosoft.com)。网站显示虚假连接错误,诱导用户复制并粘贴Terminal命令执行stager文件teamsSDK.bin。由于用户手动执行,macOS的Gatekeeper无法阻止。
第二阶段:stager下载虚假应用包,应用临时代码签名,并弹出窗口要求输入macOS密码。设计上前两次输入会失败抖动,第三次才接受,以降低用户警惕。
第三阶段:配置文件收集主机名、UUID、CPU、操作系统详情、运行进程以及Brave、Chrome、Firefox、Safari、Opera、Vivaldi等浏览器的扩展信息。配置文件存在编码错误,会导致CPU持续高负载,可能暴露感染迹象。
第四阶段:持久化模块将自身重命名为Onedrive并放入隐藏路径“Antivirus Service”文件夹,注册LaunchAgentcom.onedrive.launcher.plist以实现自动启动。最终,窃密模块macrasv2收集浏览器扩展数据、SQLite凭据数据库和钥匙串项,打包为ZIP并通过Telegram Bot API外泄。
重大操作安全失误:Telegram令牌暴露
研究人员在二进制文件中发现了暴露的Telegram Bot令牌,这是严重的操作安全失误,可能允许防御者监控甚至中断外泄通道。团队已公布所有主要组件的SHA-256哈希值以及网络指标(IP地址:172.86.113.102和144.172.114.220)。
值得注意的是,非Lazarus团体也观察到使用该工具,表明其可能已被共享或出售至恶意生态系统。
历史背景与防御建议
Lazarus组织曾使用Applejeus和Rustbucket等macOS恶意工具,Mach-O Man延续了相同的高价值目标定位,同时降低了技术门槛。研究人员建议加密货币和金融科技企业:审计LaunchAgents目录,监控从异常路径运行的OneDrive进程,阻止非必要的Telegram Bot API出站流量,并严禁用户从网页或未经验证的会议链接粘贴Terminal命令。

