Lazarus-Hacker greifen macOS-Nutzer mit dem „Mach-O Man“-Malware-Kit an

Technik und Auswirkungen

Opfer, typischerweise Geschäftsführer in den Bereichen Web3, FinTech oder Krypto, erhalten eine dringende Telegram-Nachricht Kontakt, die eine scheinbar legitime Einladung zu einer Zoom-, Microsoft Teams- oder Google Meet-Sitzung enthält.

Der Link leitet zu einer überzeugenden gefälschten Kollaborationsplattform (z. B. update-teams[.]live oder livemicrosft[.]com) weiter, die einen simulierten Verbindungsfehler anzeigt und den Benutzer auffordert, einen Terminal-Befehl einzufügen und auszuführen, um das Problem zu „beheben“.

Die meisten Module zeigen fehlerhafte Funktionen oder unerwartete Fehler. Dieser einzelne Terminal-Befehl deployt geräuschlos teamsSDK.bin, den anfänglichen Stager des Kits.

Technischer Hintergrund

Sobald die Ausführung beginnt, arbeitet Mach-O Man über vier verschiedene Phasen: Stufe 1 – Der Stager (teamsSDK.bin): Lädt ein gefälschtes macOS-Anwendungsbündel herunter, das Zoom, Teams oder Google Meet imitiert; wendet eine ad-hoc-Code-Signatur an, um die macOS-Ausführungssteuerungen zu umgehen; fordert das Opfer dreimal zur Eingabe seines Passworts auf, wobei das Fenster bei den ersten beiden Versuchen zittert, um einen Authentifizierungsfehler zu simulieren, bevor es die Anmeldeinformationen stumm akzeptiert.

Stufe 2 – Der Profiler (D1YrHRTg.bin-Varianten): Registriert den Host beim C2-Server und sammelt ein umfassendes Systemprofil – einschließlich Hostnamen, CPU-Typ, Bootzeit, OS-Version, laufende Prozesse, Netzwerkkonfiguration und einen vollständigen Bestand installierter Browser-Erweiterungen für Chrome, Firefox, Safari, Brave, Opera und Vivaldi.

Die meisten Module enthalten eine Nutzermeldung Stufe 3 – Persistenz ( minst2.bin ): Erstellt einen Ordner mit dem Namen „Antivirus Service“, platziert ein als OneDrive getarntes Binärprogramm und installiert einen LaunchAgent ( com.onedrive.launcher.plist ), um sicherzustellen, dass das Malware-Kit bei jeder Anmeldung erneut ausgeführt wird.

Technischer Hintergrund

Stufe 4 – Der Stealer ( macrasv2 ): Erbeutet Browser-Anmeldeinformationen, Sitzungs-Cookies, in SQLite gespeicherte Daten und macOS Keychain-Einträge, verpackt alles in user_ext.zip und exfiltriert es über die Telegram Bot API – einen vertrauenswürdigen Kanal, der sich in normalen Datenverkehr einfügt.

Ein Selbstlöschskript ( delete_self.sh ) löscht anschließend alle Komponenten mithilfe des nativen rm-Befehls. Trotz der Raffinesse der Kampagne identifizierten Forscher auffällige OPSEC-Schwachstellen.

Die Betreiber legten ihren Telegram-Bot-Token frei, was es Drittparteien ermöglichte, die Nachrichten des Bots zu lesen, Nachrichten in seinem Namen zu senden und sogar den Betreiber zu identifizieren, was die Aufräumbemühungen erheblich unterstützte.

Technischer Hintergrund

Sandbox-Analyse von macrasv2 Telegram Bot/API-Schlüssel wurde geleakt Mehrere Module enthalten außerdem fehlerhafte Logik, darunter eine Profiler-Komponente, die in einer Endlosschleife gerät, wiederholt Systemdaten an die C2 sendet und potenziell Warnungen über Ressourcenerschöpfung auf der Maschine des Opfers auslöst.

Wiederholte curl-Befehle, die dieselbe Datei posten Sicherheitsteams sollten jeden unerwarteten Terminal-Befehlsaufforderung, selbst wenn sie in einen scheinbar routinemäßigen Meeting-Workflow eingebettet ist, als Indikator für Engineering mit hoher Sicherheit einstufen.

SOC-Teams wird geraten, LaunchAgents auf Dateien zu überprüfen, die sich als OneDrive- oder Antivirus-Service-Verzeichnisse ausgeben, terminalbasierte ClickFix-Lockstoffe auf Endpunktebene zu blockieren und plattformübergreifende Sandboxing-Tools einzusetzen, die in Echtzeit macOS-native Mach-O-Binärdateien analysieren können.

Technischer Hintergrund

Ein einzelnes kompromittiertes macOS-Gerät in einer Fintech- oder Krypto-Umgebung kann vollen Zugriff auf die Produktionsinfrastruktur, SaaS-Plattformen und digitale Asset-Wallets gewähren, weshalb eine frühzeitige Erkennung entscheidend ist, bevor Zugangsdaten exfiltriert wurden. Reduzieren Sie die MTTR um in Ihrem SOC.

Verbessern Sie die Produktivität der Tier-1-Mitarbeiter mit ANY.RUN. Kontaktieren Sie uns.

Der Beitrag Lazarus Hackers Attacking macOS Users With ‘Mach-O Man’ Malware Kit erschien zuerst auf