Une nouvelle campagne de malware macOS du groupe nord-coréen Lazarus transforme les appels professionnels de routine en une porte d'entrée pour voler des millions aux entreprises de crypto et de fintech.
Retour
Retour
Le groupe Lazarus déploie un nouveau malware Mac après avoir volé 500 millions de dollars
Les pirates informatiques parrainés par l'État nord-coréen du groupe Lazarus déploient un nouveau malware multi-étapes pour macOS appelé « Mach-O Man », ciblant les cadres des secteurs de la crypto et de la fintech. La campagne, identifiée à la mi-avril 2026, a déjà été liée au groupe responsable de plus de 500 millions de dollars de vols de crypto-monnaies rien qu'au cours du mois dernier.
« Ce qui rend Lazarus particulièrement dangereux en ce moment, c'est son niveau d'activité », a déclaré Natalie Newson, chercheuse senior en sécurité blockchain chez CertiK, à CoinDesk. « Il ne s'agit pas de piratage aléatoire ; c'est une opération financière dirigée par un État qui fonctionne à une échelle et à une vitesse typiques des institutions. »
L'attaque utilise une technique d'ingénierie sociale surnommée « ClickFix », attirant les victimes sur Telegram vers de faux appels Zoom ou Google Meet. Un message d'erreur frauduleux invite ensuite l'utilisateur à coller une commande dans le terminal de son Mac, ce qui installe le malware tout en contournant les contrôles de sécurité natifs. La charge utile finale, Macrasv2, exfiltre les données du navigateur, les cookies et les entrées sensibles du trousseau d'accès (Keychain) macOS via un bot Telegram.
La campagne augmente considérablement le risque de sécurité opérationnelle pour les projets crypto, où des identifiants de développeurs ou de cadres compromis peuvent mener à des pertes catastrophiques, comme on l'a vu lors des récents exploits de 292 millions de dollars chez KelpDAO et 285 millions de dollars chez Drift. La nature modulaire du malware et son utilisation par d'autres groupes de cybercriminalité suggèrent que sa menace va probablement s'étendre, forçant les entreprises à se défendre contre des attaques qui proviennent des actions de confiance de leurs propres employés.
Comment l'attaque 'Mach-O Man' contourne la sécurité de macOS
L'innovation principale de la campagne Mach-O Man réside dans sa dépendance à l'ingénierie sociale pour contourner les fonctionnalités de sécurité intégrées d'Apple. L'attaque commence lorsqu'une cible reçoit une invitation urgente à une réunion sur une plateforme comme Telegram, semblant provenir d'un collègue de confiance, pour un appel sur Zoom, Microsoft Teams ou Google Meet.
Le lien renvoie vers une page web convaincante mais fausse qui simule un problème de connexion. Pour « résoudre » le problème, le site demande à l'utilisateur de copier et coller une ligne de code dans l'application Terminal de son Mac. Comme l'utilisateur lance lui-même la commande, les fonctions de sécurité de macOS comme Gatekeeper, qui bloquent normalement les applications non vérifiées, sont contournées.
Lors de l'exécution, la commande télécharge un binaire initial nommé teamsSDK.bin. Le malware télécharge ensuite un faux paquet d'application et demande à plusieurs reprises son mot de passe à la victime avec des invites système mal traduites mais d'apparence authentique, s'assurant ainsi d'obtenir les permissions nécessaires.
Un voleur autodestructeur qui laisse peu de traces
Le malware fonctionne en quatre étapes distinctes. Après l'infection initiale, un module de profilage collecte les informations système — y compris le nom d'hôte, les détails du processeur et la configuration réseau — et enregistre la victime auprès du serveur de commande et de contrôle (C2) des attaquants.
Ensuite, un module de persistance nommé minst2.bin garantit que le malware survit à un redémarrage. Il dépose un fichier plist LaunchAgent, com.onedrive.launcher.plist, qui relance le malware à chaque connexion en se faisant passer pour un processus légitime « OneDrive » ou « Antivirus Service ».
La dernière étape est le voleur lui-même, une charge utile identifiée sous le nom de Macrasv2. Ce composant est conçu pour extraire les données des extensions de navigateur pour Chrome, Firefox, Safari, Brave et d'autres. Il cible les identifiants stockés, les cookies des bases de données SQLite et les entrées sensibles du trousseau macOS. Une fois collectées, les données sont compressées et exfiltrées à l'aide de l'API du bot Telegram avant que le malware ne supprime la plupart de ses traces du système.
Les pirates piratés
Dans un retournement de situation notable, la sécurité opérationnelle des attaquants eux-mêmes s'est avérée inadéquate. Mauro Eldritch, fondateur de la société de renseignement sur les menaces BCA Ltd., a découvert deux vulnérabilités critiques dans l'infrastructure C2 du groupe Lazarus.
Selon un rapport d'Eldritch, le code du malware a exposé le jeton API du bot Telegram utilisé pour l'exfiltration des données. Cette clé a permis aux chercheurs d'identifier le propriétaire du bot et de perturber ses canaux avec du spam. De plus, le serveur C2 présentait une faille permettant le téléchargement illimité de fichiers, permettant aux chercheurs d'inonder l'infrastructure des attaquants avec des données inutiles et de provoquer efficacement une panne. Bien que cela ait constitué un revers temporaire pour les pirates, le kit de malware Mach-O Man reste une menace active et en évolution.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
[1] Le groupe Lazarus cible la crypto et les cadres de haut niveau avec le kit de malware 'Mach-O Man'[2] Lazarus est devenu particulièrement dangereux avec la nouvelle attaque Mach-O Man : CertiK[3] Un malware lié à Lazarus frappe les entreprises de crypto et de fintech[4] Des pirates nord-coréens créent un malware macOS « tout neuf », mais se font pirater eux-mêmes
Fonctionnalités
Ressources
© 2026 Finture Development Limited. Tous droits réservés.