Die nordkoreanische Lazarus-Gruppe<\/strong> nutzt die macOS-Malware „Mach-O Man“<\/strong> sowie gef\u00e4lschte Meeting-Einladungen, um Krypto-Manager zu \u00fcberlisten und neunstellige DeFi-Raubz\u00fcge<\/strong> zu finanzieren. Diese staatlich unterst\u00fctzte Hackergruppe hat eine neue Kampagne gestartet, die gezielt F\u00fchrungskr\u00e4fte im Fintech- und Krypto-Bereich ins Visier nimmt, wie die Blockchain-Sicherheitsfirma CertiK<\/strong> berichtet.<\/p>\n Die Operation, die den Namen „Mach-O Man“<\/strong> tr\u00e4gt, kombiniert Social Engineering<\/strong> mit Terminal-Payloads, um Krypto- und sensible Unternehmensdaten zu stehlen, w\u00e4hrend sie nahezu keine Spuren auf der Festplatte hinterl\u00e4sst. CertiK-Forscher berichten, dass die Kampagne auf der ClickFix-Technik<\/strong> basiert, bei der die Opfer dazu verleitet werden, vermeintliche „Reparatur“- oder „\u00dcberpr\u00fcfungs“-Befehle direkt in das macOS-Terminal w\u00e4hrend gef\u00e4lschter Support- oder Meeting-Abl\u00e4ufe einzugeben.<\/p>\n In diesem Fall erscheinen die Lockangebote als gef\u00e4lschte Online-Meeting-Einladungen, die die Opfer dazu bringen, b\u00f6sartige Reparaturbefehle in Mac-Terminals einzugeben. Das Toolkit wird nach der Nutzung automatisch gel\u00f6scht, um forensische Untersuchungen zu erschweren, so die Analyse von CertiK.<\/p>\n Laut der Bedrohungsintelligenzfirma SOC Prime<\/strong> ist das „Mach-O Man“-Framework<\/strong> mit Lazarus‘ ber\u00fchmter Chollima-Einheit<\/strong> verbunden und wird \u00fcber kompromittierte Telegram-Konten sowie gef\u00e4lschte Meeting-Einladungen verbreitet, die auf wertvolle Krypto- und Finanzorganisationen abzielen. Das Toolkit umfasst mehrere Mach-O-Bin\u00e4rdateien, die dazu dienen, den Host zu profilieren, Persistenz zu gew\u00e4hrleisten und Anmeldeinformationen sowie Browserdaten \u00fcber Telegram-basierte Kommando- und Kontrollsysteme zu exfiltrieren, wie CoinDesk<\/strong> berichtet.<\/p>\n Google Clouds Mandiant<\/strong> beschrieb zuvor \u00e4hnliche macOS-Kampagnen, die ClickFix mit KI-unterst\u00fctzten Video-Deepfakes, gef\u00e4lschten Zoom-Anrufen und gehackten Messaging-Konten kombinieren, um Ziele dazu zu bringen, obfuskierte Befehle auszuf\u00fchren. <\/p>\n „Die Kampagne nutzte ein kompromittiertes Telegram-Konto, ein gef\u00e4lschtes Zoom-Meeting und KI-unterst\u00fctzte T\u00e4uschung, um Opfer dazu zu bringen, Terminalbefehle auszuf\u00fchren, die zu einer macOS-Infektionskette f\u00fchrten“,<\/p><\/blockquote>\n schrieben die Mandiant-Forscher.<\/p>\n CertiK-Forscherin Natalie Newson<\/strong> verband die neueste Welle von „Mach-O Man“<\/strong> mit einem breiteren Vorsto\u00df von Lazarus, der in nur etwas mehr als zwei Wochen mehr als 500 Millionen Dollar<\/strong> von den DeFi-Plattformen Drift<\/strong> und KelpDAO<\/strong> abgezweigt hat. In diesen Vorf\u00e4llen kombinierte Lazarus angeblich Social Engineering gegen eine Handelsfirma mit einem ausgekl\u00fcgelten Cross-Chain-Exploit<\/strong>, der es den Angreifern erm\u00f6glichte, etwa 116.500 rsETH<\/strong> zu minten und etwa 292 Millionen Dollar<\/strong> an Wert abzuziehen.<\/p>\n LayerZero<\/strong>, das die Br\u00fcckeninfrastruktur bereitstellt, die von KelpDAO verwendet wird, erkl\u00e4rte, dass die Lazarus-Gruppe aus Nordkorea der „wahrscheinliche Akteur“ hinter dem rsETH-Exploit sei und machte ein Design mit einem einzigen Fehlerpunkt f\u00fcr die Erm\u00f6glichung der gef\u00e4lschten Cross-Chain-Nachricht verantwortlich.<\/p>\n „Lazarus zielt seit Jahren auf das Kryptow\u00e4hrungs-\u00d6kosystem ab und hat 2023 und 2024 etwa 2 Milliarden Dollar<\/strong> an virtuellen Verm\u00f6genswerten gestohlen“,<\/p><\/blockquote>\n berichtete das Sicherheitsmedium SecurityWeek<\/strong> und verwies auf fr\u00fchere ClickFix-aktivierte Kampagnen. Da DeFi bereits unter dem leidet, was Forschungsinstitute als den schlimmsten Monat f\u00fcr Hacks in der Geschichte bezeichnen, preisen die M\u00e4rkte nun effektiv einen weiteren Exploit von \u00fcber 100 Millionen Dollar<\/strong> in diesem Jahr ein, was unterstreicht, wie staatlich verbundene Angreifer wie Lazarus zu einem systemischen Risiko<\/strong> f\u00fcr Krypto geworden sind.<\/p>\n","protected":false},"excerpt":{"rendered":" Die nordkoreanische Lazarus-Gruppe und ihre neue Kampagne Die nordkoreanische Lazarus-Gruppe nutzt die macOS-Malware „Mach-O Man“ sowie gef\u00e4lschte Meeting-Einladungen, um Krypto-Manager zu \u00fcberlisten und neunstellige DeFi-Raubz\u00fcge zu finanzieren. Diese staatlich unterst\u00fctzte Hackergruppe hat eine neue Kampagne gestartet, die gezielt F\u00fchrungskr\u00e4fte im Fintech- und Krypto-Bereich ins Visier nimmt, wie die Blockchain-Sicherheitsfirma CertiK berichtet. Die Operation „Mach-O Man“ und ihre Techniken Die Operation, die den Namen „Mach-O Man“ tr\u00e4gt, kombiniert Social Engineering mit Terminal-Payloads, um Krypto- und sensible Unternehmensdaten zu stehlen, w\u00e4hrend sie nahezu keine Spuren auf der Festplatte hinterl\u00e4sst. CertiK-Forscher berichten, dass die Kampagne auf der ClickFix-Technik basiert, bei der die Opfer<\/p>\n","protected":false},"author":3,"featured_media":14788,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,2886,844,9969,418,65,10077,1516,71,9733,72,10052],"class_list":["post-14789","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-certik","tag-coindesk","tag-drift","tag-google","tag-hack","tag-kelpdao","tag-layerzero","tag-lazarus","tag-mandiant","tag-north-korea","tag-rseth"],"yoast_description":"Die nordkoreanische Lazarus-Gruppe hat die macOS-Malware 'Mach-O Man' gestartet, die gezielt Krypto-Manager angreift und Social Engineering-Taktiken einsetzt, um sensible Daten zu stehlen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/14789","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=14789"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/14789\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/14788"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=14789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=14789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=14789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Operation „Mach-O Man“ und ihre Techniken<\/h2>\n
Verbreitung und Verbindungen zur Chollima-Einheit<\/h2>\n
\u00c4hnliche Kampagnen und deren Auswirkungen<\/h2>\n
Finanzielle Auswirkungen und systemisches Risiko<\/h2>\n