慢霧首席資訊安全長 23pds 於 4 月 22 日發布警示,稱北韓駭客組織 Lazarus Group 已發布全新原生 macOS 惡意軟體工具包「Mach-O Man」,專門針對加密貨幣行業及高價值企業高管。
攻擊手法與目標
根據 Mauro Eldritch 的分析報告,本次攻擊採用 ClickFix 手法:攻擊者通過 Telegram(使用已被入侵的聯絡人帳號)發送偽裝成合法會議邀請的連結,將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站,並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。
攻擊目標資料包括:瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據,以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩;報告指出攻擊者暴露了 Telegram 機器人令牌(OPSEC 失誤),削弱了其行動安全性。
攻擊對象主要為金融科技及加密貨幣行業,以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。
Mach-O Man 工具包主要組件
根據 Mauro Eldritch 的技術分析,工具包由以下主要模組構成:
teamsSDK.bin:初始植入器,偽裝為 Teams、Zoom、Google 或系統應用,執行基本系統指紋識別
D1{隨機字串}.bin:系統分析器,收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器
minst2.bin:持久化模組,建立偽裝「Antivirus Service」目錄及 LaunchAgent,確保每次登入後持續執行
macrasv2:最終竊取器,收集瀏覽器憑證、Cookie 及 macOS Keychain 條目,打包後通過 Telegram 外洩並自我刪除
關鍵入侵指標(IOC)摘要
根據 Mauro Eldritch 報告發布的 IOC:
惡意 IP:172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
惡意域名:update-teams[.]live / livemicrosft[.]com
關鍵文件(部分): teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
C2 通訊端口: 8888 及 9999;主要使用 Go HTTP 用戶端 User-Agent 特徵字符串
完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。
常見問題
「Mach-O Man」工具包針對哪些行業和目標?
根據慢霧 23pds 的警示及 BCA LTD 的研究,「Mach-O Man」主要針對金融科技和加密貨幣行業,以及 macOS 廣泛使用的高價值企業環境,特別是開發者、高管和決策者群體。
攻擊者如何誘導 macOS 用戶執行惡意命令?
根據 Mauro Eldritch 的分析,攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結,將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站,提示用戶在 macOS 終端執行命令以「修復」連線問題,從而觸發惡意軟體安裝。
「Mach-O Man」如何實現數據外洩?
根據 Mauro Eldritch 的技術分析,最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包,通過 Telegram Bot API 外洩;同時攻擊者採用自我刪除腳本清除系統痕跡。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Volo Protocol 在 Sui 黑客事件中损失 350 万美元,承诺吸收损失并冻结黑客资金
Gate News 消息,4月22日——Volo Protocol 是 Sui 上的收益金库运营方,昨日 (4月21日) 宣布,在一次 350 万美元的漏洞利用之后,它已经开始冻结被盗资产。黑客从 Volo Vaults 窃取了 WBTC、XAUm 和 USDG,标志着该领域在一个历史上异常严峻的月份里发生的最新一次重大的 DeFi 安全事故。
GateNews1小时前
法国家庭遭持械入侵后被迫在加密货币转账 $820K
Gate News 消息,4 月 22 日——根据 The Block 的报道,法国布列塔尼地区一个小镇普洛达尔梅泽奥(Ploudalmézeau)的一个家庭在周一 (4 月 20 日)遭到两名持械蒙面男子入侵。三名成年人被捆绑超过三个小时,并被迫将约 700,000 欧元 (约 820,000 美元) i
GateNews3小时前
DOJ 启动 OneCoin 诈骗受害者赔偿流程,已追回资产达 4000 万美元以上可供分配
Gate 新闻消息,4月22日——美国司法部已宣布启动针对 OneCoin 加密货币诈骗案受害者的赔偿流程,现已有超过 $40 百万美元的已追回资产可供分配。
该案由 Ruja 在 2014 年至 2019 年期间运营,
GateNews4小时前
因涉及 26 亿美元欺诈指控而遭起诉:AI16Z、ELIZAOS 创作者;从峰值暴跌 99.9% 的代币崩盘
联邦集体诉讼指控 AI16Z/ELIZAOS 通过虚假的 AI 说法和误导性营销实施价值 26 亿美元的加密诈骗;指称存在内线偏袒,并指控该自主系统系精心布置的;并寻求依据消费者保护法获得损害赔偿。
摘要:本报告介绍一份在 4 月 21 日提起的 SDNY(纽约南区联邦地区法院)联邦集体诉讼。原告指控 AI16Z 及其改名后的 ELIZAOS 发生 26 亿美元的加密诈骗,涉及虚假的 AI 说法与误导性营销。诉讼称该项目与 Andreessen Horowitz 存在“人为制造”的关联,且其并非真正的自主系统。报告还披露了 2025 年初的峰值估值、99.9% 的暴跌,以及约 4,000 个遭受损失的钱包;同时,内线人员获得了约 40% 的新增代币。原告寻求依据纽约与加利福尼亚消费者保护法获得损害赔偿及衡平救济。韩国监管机构以及多家主要交易所已对相关交易发出警告或暂停相关交易。
GateNews5小时前
SlowMist 警报:正在活跃的 MacSync Stealer macOS 恶意软件,针对加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的恶意信息窃取程序,会窃取钱包、凭据、钥匙串以及基础设施密钥,并通过伪造的 AppleScript 提示和虚假的“不支持”错误来实施;敦促保持谨慎并提高对 IOCs 的意识。
摘要:本报告概述了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意程序是一种 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并显示可见的虚假“不支持”消息。SlowMist 向客户提供 IOCs,并建议避免执行未经验证的 macOS 脚本,同时对异常的密码提示保持警惕。
GateNews6小时前
朝鲜 Lazarus 组织部署 Mach-O Man 恶意软件,从 macOS 用户窃取加密货币钱包凭证
Lazarus 为 macOS 发布 Mach-O Man,以窃取钥匙串数据和钱包凭证,目标是通过 ClickFix 弹窗以及被攻破的 Telegram 会议来锁定加密货币高管。
摘要:该文章称,与 Lazarus 相关的 Mach-O Man 恶意软件针对 macOS,以外传钥匙串数据、浏览器凭证和登录会话,从而访问加密货币钱包和交易所账户。其分发依赖于 ClickFix 社交工程手段,以及被攻破的 Telegram 账号将受害者引导至伪造的会议链接。文章将此次行动与 4 月 20 日的 Kelp DAO 被黑事件联系起来,并指出 TraderTraitor 与 Lazarus 有关联,同时提到通过 LayerZero 的 OFT 标准在区块链之间转移 rsETH。
GateNews6小时前
