Lazarus Group запустила волну хакерских атак через фейк-звонки для взлома macOS

• Хакеры используют деловые переписки как точку входа в системы.
• Атака ориентирована на финтех и криптокомпании.
• Вредоносное ПО маскируется под исправление ошибки подключения.

Северокорейская хакерская группировка Lazarus Group начала новую кампанию под названием Mach-O Man, направленную на пользователей macOS. По данным CertiK, злоумышленники используют социальную инженерию, маскируя атаку под обычные деловые коммуникации.

Основной сценарий атаки предполагает приглашение на онлайн-встречу через сервисы вроде Zoom или Google Meet. Жертву перенаправляют на поддельный сайт, где ей предлагают ввести команду в терминал для устранения «проблемы с подключением», тем самым открывая доступ к системе.

Атака основана на методе ClickFix — форме социальной инженерии, при которой пользователь сам запускает вредоносную команду. Это делает традиционные механизмы защиты менее эффективными, поскольку действия выглядят легитимными.

По словам исследователей, Mach-O Man представляет собой модульный набор вредоносных программ, использующий нативные бинарные файлы macOS. После выполнения задачи он может самоуничтожаться, усложняя обнаружение и анализ атаки.

Кампания нацелена на криптоиндустрию

Основной целью кампании являются руководители и сотрудники компаний в сферах финтеха и цифровых активов. Эксперты отмечают, что атака уже используется не только северокорейцами, но и другими киберпреступными группами.

По оценкам аналитиков, активность Lazarus значительно выросла. Только за последние недели хакеры, связанные с этой группировкой, могли быть причастны к инцидентам с KelpDAO и Drift Protocol.

Суммарные потери от этих атак достигли почти $600 млн.