Một chiến dịch phần mềm độc hại macOS mới từ Nhóm Lazarus của Triều Tiên đang biến các cuộc gọi kinh doanh thông thường thành cổng để đánh cắp hàng triệu USD từ các công ty tiền điện tử và fintech.
Quay lại
Quay lại
Nhóm Lazarus triển khai phần mềm độc hại Mac mới sau khi đánh cắp 500 triệu USD
Các tin tặc do nhà nước Triều Tiên bảo trợ từ Nhóm Lazarus đang triển khai một phần mềm độc hại đa giai đoạn mới cho macOS có tên là “Mach-O Man”, nhắm vào các giám đốc điều hành trong lĩnh vực tiền điện tử và fintech. Chiến dịch này, được xác định vào giữa tháng 4 năm 2026, đã được liên kết với nhóm chịu trách nhiệm cho các vụ trộm tiền điện tử trị giá hơn 500 triệu USD chỉ riêng trong tháng qua.
Natalie Newson, một nhà nghiên cứu bảo mật blockchain cấp cao tại CertiK, nói với CoinDesk: “Điều làm cho Lazarus trở nên đặc biệt nguy hiểm vào lúc này là mức độ hoạt động của họ. Đây không phải là hành vi hack ngẫu nhiên; đó là một hoạt động tài chính do nhà nước chỉ đạo đang vận hành ở quy mô và tốc độ điển hình của các tổ chức tài chính.”
Cuộc tấn công sử dụng một kỹ thuật kỹ thuật xã hội được gọi là “ClickFix”, dụ dỗ nạn nhân trên Telegram vào các cuộc gọi Zoom hoặc Google Meet giả mạo. Sau đó, một thông báo lỗi gian lận sẽ nhắc người dùng dán một lệnh vào terminal của máy Mac, lệnh này sẽ cài đặt phần mềm độc hại trong khi bỏ qua các kiểm soát bảo mật gốc. Payload cuối cùng, Macrasv2, trích xuất dữ liệu trình duyệt, cookie và các mục macOS Keychain nhạy cảm thông qua một bot Telegram.
Chiến dịch này làm tăng đáng kể rủi ro an ninh hoạt động cho các dự án tiền điện tử, nơi các thông tin đăng nhập của nhà phát triển hoặc giám đốc điều hành bị xâm nhập có thể dẫn đến những tổn thất thảm khốc, như đã thấy trong các vụ khai thác KelpDAO trị giá 292 triệu USD và Drift trị giá 285 triệu USD gần đây. Bản chất mô-đun của phần mềm độc hại và việc sử dụng bởi các nhóm tội phạm mạng khác cho thấy mối đe dọa của nó có thể sẽ mở rộng, buộc các công ty phải phòng thủ chống lại các cuộc tấn công bắt nguồn từ các hành động đáng tin cậy của chính nhân viên họ.
Cách thức cuộc tấn công 'Mach-O Man' vượt qua bảo mật macOS
Sự đổi mới chính của chiến dịch Mach-O Man là sự phụ thuộc vào kỹ thuật xã hội để phá vỡ các tính năng bảo mật tích hợp sẵn của Apple. Cuộc tấn công bắt đầu khi một mục tiêu nhận được lời mời họp khẩn cấp trên một nền tảng như Telegram, có vẻ như từ một đồng nghiệp đáng tin cậy, cho một cuộc gọi trên Zoom, Microsoft Teams hoặc Google Meet.
Liên kết dẫn đến một trang web giả mạo đầy thuyết phục mô phỏng một sự cố kết nối. Để “giải quyết” vấn đề, trang web hướng dẫn người dùng sao chép và dán một dòng mã vào ứng dụng Terminal của máy Mac. Vì người dùng tự mình khởi tạo lệnh, các tính năng bảo mật của macOS như Gatekeeper, vốn thường chặn các ứng dụng chưa được xác minh, sẽ bị bỏ qua.
Sau khi thực thi, lệnh sẽ tải xuống một tệp nhị phân ban đầu có tên là teamsSDK.bin. Sau đó, phần mềm độc hại sẽ tải xuống một gói ứng dụng giả mạo và liên tục yêu cầu nạn nhân nhập mật khẩu bằng các lời nhắc hệ thống được dịch kém nhưng trông có vẻ chân thực, đảm bảo rằng nó có được các quyền cần thiết.
Kẻ trộm tự hủy để lại ít dấu vết
Phần mềm độc hại hoạt động trong bốn giai đoạn riêng biệt. Sau lần lây nhiễm ban đầu, một mô-đun cấu hình sẽ thu thập thông tin hệ thống—bao gồm tên máy chủ, chi tiết CPU và cấu hình mạng—và đăng ký nạn nhân với máy chủ lệnh và điều khiển (C2) của những kẻ tấn công.
Tiếp theo, một mô-đun duy trì có tên là minst2.bin đảm bảo phần mềm độc hại tồn tại sau khi khởi động lại. Nó thả một tệp plist LaunchAgent, com.onedrive.launcher.plist, tệp này sẽ khởi chạy lại phần mềm độc hại ở mỗi lần đăng nhập bằng cách giả dạng là một quy trình “OneDrive” hoặc “Dịch vụ chống vi-rút” hợp pháp.
giai đoạn cuối cùng là chính trình đánh cắp, một payload được xác định là Macrasv2. Thành phần này được thiết kế để trích xuất dữ liệu từ các tiện ích mở rộng trình duyệt cho Chrome, Firefox, Safari, Brave và những trình duyệt khác. Nó nhắm mục tiêu vào các thông tin đăng nhập được lưu trữ, cookie từ cơ sở dữ liệu SQLite và các mục nhạy cảm trong macOS Keychain. Sau khi được thu thập, dữ liệu sẽ được nén và trích xuất bằng API bot Telegram trước khi phần mềm độc hại xóa hầu hết các dấu vết của chính nó khỏi hệ thống.
Hacker cũng bị hack
Trong một diễn biến đáng chú ý, an ninh hoạt động của chính những kẻ tấn công đã được chứng minh là không đầy đủ. Mauro Eldritch, người sáng lập công ty tình báo về mối đe dọa BCA Ltd., đã phát hiện ra hai lỗ hổng nghiêm trọng trong cơ sở hạ tầng C2 của Nhóm Lazarus.
Theo báo cáo từ Eldritch, mã của phần mềm độc hại đã làm lộ mã thông báo API cho bot Telegram được sử dụng để trích xuất dữ liệu. Khóa này cho phép các nhà nghiên cứu xác định chủ sở hữu của bot và làm gián đoạn các kênh của nó bằng thư rác. Hơn nữa, máy chủ C2 có một lỗ hổng cho phép tải lên tệp không hạn chế, cho phép các nhà nghiên cứu làm tràn cơ sở hạ tầng của những kẻ tấn công bằng dữ liệu rác và gây ra sự cố mất điện một cách hiệu quả. Mặc dù điều này mang lại một bước lùi tạm thời cho các hacker, nhưng bộ công cụ phần mềm độc hại Mach-O Man vẫn là một mối đe dọa đang hoạt động và đang phát triển.
Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên đầu tư.
[1] Nhóm Lazarus của Triều Tiên nhắm mục tiêu vào các giám đốc điều hành giá trị cao, tiền điện tử với bộ phần mềm độc hại macOS 'Mach-O Man'[2] Nhóm Lazarus đã trở nên đặc biệt nguy hiểm với cuộc tấn công Mach-O Man mới: CertiK[3] Phần mềm độc hại liên quan đến Lazarus tấn công các công ty tiền điện tử và fintech[4] Tin tặc Triều Tiên xây dựng phần mềm độc hại macOS “mới sáng loáng”, nhưng chính họ lại bị hack
Đặc điểm
Tài nguyên
© 2026 Finture Development Limited. Tất cả các quyền được bảo lưu