Lazarus запустили новый инструмент для кражи криптовалюты через macOS

Исследователи в области кибербезопасности связали распространяющеся вредоносные программы для macOS под названием «Mach-O Man» с группировкой Lazarus — хакерами, которые совершили ряд крупнейших хищений криптовалюты.

По данным Мауро Элдрича (Mauro Eldritch), эксперта кибербезопасности и основателя компании BCA Ltd., вредоносное программное обеспечение распространяется через схемы социальной инженерии ClickFix и нацелено как на традиционный бизнес, так и на криптовалютные компании.

Механизм заражения выстроен на обмане: жертв завлекают на фиктивный звонок в Zoom или Google Meet, после чего им предлагают выполнить определенные команды. В фоновом режиме это запускает загрузку вредоносного кода, который позволяет злоумышленникам обойти стандартные средства защиты и получить доступ к учетным данным и корпоративным системам — незаметно для пользователя.

По оценке исследователей, последствия успешной атаки могут включать захват учетных записей, несанкционированный доступ к инфраструктуре компании, финансовые потери и утечку критически важных данных.

Это указывает на то, что Lazarus последовательно расширяет круг своих целей за пределы криптовалютных организаций.

Завершающая стадия атаки — работа скрытой программа, задача которой извлечь из браузерных расширений сохраненные учетные данные, файлы cookie, записи macOS Keychain (Связка ключей — это встроенная в операционные системы Apple зашифрованная система управления паролями и конфиденциальными данными) и другую чувствительную информацию с зараженных устройств.

Собранные данные упаковываются в zip-архив и передаются злоумышленникам через Telegram. После этого скрипт самоудаления уничтожает весь набор инструментов с помощью системной команды, которая обходит запросы на подтверждение и разрешения при удалении файлов. Весь комплекс вредоносных программ был реконструирован экспертом с использованием возможностей облачной песочницы для анализа вредоносного программного обеспечения Any.run на macOS.

Группировка Lazarus остается главным подозреваемым в ряде наиболее масштабных краж в истории криптовалютного рынка. В 2025 году она предположительно организовала взломом биржи Bybit, в ходе которого были похищены $1,4 млрд. Это был самый масштабный в отрасли за все время ее существования.

В начале апреля северокорейские хакеры применили схемы социальной инженерии с использованием искусственного интеллекта и похитили около $100 000 у криптокошелька Zerion, получив доступ к активным сессиям ряда сотрудников, их учетным данным и приватным ключам компании.

Мнение ИИ

Выявление «Mach-O Man» демонстрирует, что инструментарий Lazarus продолжает развиваться: группировка адаптирует методы атак под конкретные платформы — в данном случае macOS — и при этом расширяет охват за рамки криптоиндустрии. Схемы ClickFix в сочетании со стилером, умеющим самостоятельно уничтожать следы, делают этот набор инструментов одним из наиболее технически сложных из тех, что исследователи связывают с этой группировкой.

—

**Варианты заголовков:**

1. Lazarus атакует macOS: новый набор «Mach-O Man» крадет данные у крипто- и финтех-компаний
2. Хакеры Lazarus используют фейковые звонки в Zoom для взлома macOS-систем
3. Северокорейские хакеры освоили новый инструмент для атак на macOS в криптоиндустрии
4. «Mach-O Man»: как Lazarus Group похищает данные через поддельные видеоконференции
5. Новая macOS-угроза от Lazarus: кража данных через ClickFix и самоуничтожение следов

Источник