Le directeur de la sécurité de l’information de Mandiant 23pds, a publié le 22 avril une alerte indiquant que le groupe de pirates nord-coréen Lazarus Group a mis en circulation un tout nouvel ensemble d’outils de logiciels malveillants natifs pour macOS, baptisé « Mach-O Man », conçu spécifiquement pour le secteur des cryptomonnaies et pour des cadres dirigeants d’entreprises à forte valeur.
Méthodes d’attaque et cibles
D’après le rapport d’analyse de Mauro Eldritch, cette attaque utilise la technique ClickFix : l’attaquant envoie, via Telegram (en utilisant des comptes de contacts qui ont été compromis), des liens déguisés en invitations à des réunions légitimes, afin d’amener la cible vers un faux site imitant Zoom, Microsoft Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion. Cette opération permet à l’attaquant d’obtenir un accès aux systèmes sans déclencher les mesures de sécurité classiques.
Les données visées par l’attaque comprennent : les identifiants et cookies stockés par le navigateur, les données du trousseau Keychain de macOS, ainsi que les données d’extensions des navigateurs comme Brave, Vivaldi, Opera, Chrome, Firefox et Safari. Les données exfiltrées sont divulguées via l’API Telegram Bot. Le rapport indique que l’attaquant a exposé des jetons de son bot Telegram (erreur OPSEC), ce qui affaiblit sa sécurité opérationnelle.
Les cibles de l’attaque sont principalement des développeurs, cadres et décideurs évoluant dans des environnements d’entreprises à forte valeur utilisant largement macOS, notamment dans la fintech et l’industrie des cryptomonnaies.
Principaux composants de l’ensemble d’outils Mach-O Man
D’après l’analyse technique de Mauro Eldritch, la trousse est composée des modules principaux suivants :
teamsSDK.bin : l’implanteur initial, déguisé en Teams, Zoom, Google ou en application système, et chargé de l’identification de base de l’empreinte système
D1{chaîne de caractères aléatoire}.bin : l’analyseur système, qui collecte le nom de l’hôte, le type de CPU, les informations du système d’exploitation ainsi que la liste des extensions de navigateur, puis les envoie au serveur C2
minst2.bin : le module de persistance, qui crée les répertoires et LaunchAgent du déguisement « Antivirus Service » afin d’assurer une exécution continue après chaque connexion
macrasv2 : le voleur final, qui collecte les identifiants de navigateur, les cookies et les entrées du trousseau macOS Keychain, puis empaquette les éléments avant de les exfiltrer via Telegram et de se supprimer lui-même
Résumé des indicateurs clés d’intrusion (IOC)
D’après les IOC publiées dans le rapport de Mauro Eldritch :
IP malveillante : 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Nom de domaine malveillant : update-teams[.]live / livemicrosft[.]com
Fichiers clés (partiel) : teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Ports de communication C2 : 8888 et 9999 ; utilisation principalement de la chaîne caractéristique User-Agent du client HTTP Go
Les valeurs de hachage complètes et la matrice ATT&CK sont consultables dans le rapport de recherche original de Mauro Eldritch.
Questions fréquentes
À quelles industries et à quels objectifs le kit « Mach-O Man » est-il destiné ?
D’après l’alerte de Mandiant 23pds et la recherche de BCA LTD, « Mach-O Man » cible principalement l’industrie de la fintech et des cryptomonnaies, ainsi que les environnements d’entreprises à forte valeur où macOS est largement utilisé, en particulier les groupes de développeurs, cadres et décideurs.
Comment les attaquants incitent-ils les utilisateurs macOS à exécuter des commandes malveillantes ?
D’après l’analyse de Mauro Eldritch, l’attaquant envoie via Telegram des liens déguisés en invitations à des réunions légitimes, ce qui amène l’utilisateur à visiter de faux sites imitant Zoom, Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion, déclenchant ainsi l’installation du logiciel malveillant.
Comment « Mach-O Man » réalise-t-il l’exfiltration des données ?
D’après l’analyse technique de Mauro Eldritch, le module final macrasv2 collecte les identifiants de navigateur, les cookies et les données du trousseau macOS Keychain, puis les empaquette avant de les exfiltrer via Telegram Bot API ; en parallèle, l’attaquant utilise un script de suppression automatique pour effacer les traces du système.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
ZachXBT met en garde contre un surcoût de plus de 44 % du prix du Bitcoin sur les distributeurs Bitcoin Depot
ZachXBT avertit que les distributeurs automatiques Bitcoin Depot appliquent des primes élevées—$25k en fiat à 108k $/BTC contre ~$75k au prix du marché (environ 44%), entraînant une perte d’environ 7,5k $ sur 0,232 BTC ; il signale aussi une brèche de sécurité de 3,26 M$.
Cet article résume les avertissements de ZachXBT concernant les pratiques de tarification de Bitcoin Depot et une récente brèche de sécurité, en mettant en avant les risques liés à des taux gonflés et à des failles de sécurité pour les utilisateurs.
GateNewsIl y a 1h
Privacy Protocol Umbra Shuts Down Frontend to Block Attackers from Laundering Stolen Kelp Funds
Gate News message, April 22 — Privacy protocol Umbra has shut down its frontend website to prevent attackers from using the protocol to transfer stolen funds following recent attacks, including the Kelp protocol breach that resulted in losses exceeding $280 million. Approximately $800,000 in stolen
GateNewsIl y a 2h
L’attaquant du protocole Venus transfère 2301 ETH, et les fonds sont transférés vers Tornado Cash pour être blanchis
Selon l’analyse en chaîne de l’analyste Ai Ayi du 22 avril, l’attaquant de Venus Protocol a transféré, il y a 11 heures, 2 301 ETH (environ 5,32 millions de dollars) à l’adresse 0xa21…23A7f, puis a transféré les fonds par lots vers un mélangeur de crypto Tornado Cash afin de les blanchir ; au moment du suivi, l’attaquant détient encore environ 17,45 millions de dollars en ETH sur la chaîne.
MarketWhisperIl y a 6h
Exposition d’une vulnérabilité zero-day dans CometBFT : 8 milliards de dollars américains de nœuds du réseau Cosmos risquent un gel définitif
Le chercheur en sécurité Doyeon Park a divulgué le 21 avril une vulnérabilité de type zero-day critique (niveau 7,1) dans la couche de consensus de Cosmos, CometBFT. Elle pourrait permettre à des nœuds d’être attaqués par des pairs malveillants lors de la phase de synchronisation de blocs (BlockSync), entraînant un blocage (deadlock) et affectant un réseau protégeant plus de 8 milliards de dollars d’actifs.
MarketWhisperIl y a 6h
Le groupe Lazarus nord-coréen publie un nouveau malware macOS Mach-O Man ciblant la crypto
Résumé : Le groupe Lazarus a publié une trousse d’outils malveillants native pour macOS nommée Mach-O Man, visant les plateformes crypto et des cadres de haut niveau ; SlowMist invite les utilisateurs à faire preuve de prudence face aux attaques.
Résumé : L’article rapporte que le groupe Lazarus a dévoilé Mach-O Man, une trousse d’outils malveillants native pour macOS visant les plateformes de cryptomonnaie et des cadres de haut niveau. SlowMist avertit les utilisateurs de faire preuve de prudence afin d’atténuer les attaques potentielles.
GateNewsIl y a 6h
