Introduction
Le groupe Lazarus de la Corée du Nord utilise le malware macOS « Mach-O Man » ainsi que de fausses invitations à des réunions pour cibler des dirigeants du secteur de la cryptomonnaie et financer des raids DeFi à neuf chiffres. Selon la société de sécurité blockchain CertiK, Lazarus, un groupe de hackers soutenu par l’État nord-coréen, a lancé une nouvelle campagne de malware macOS visant spécifiquement les dirigeants dans le secteur fintech et crypto.
Technique et Méthodes
Cette opération, surnommée « Mach-O Man », combine ingénierie sociale et charges utiles au niveau terminal pour voler des cryptomonnaies et des données d’entreprise sensibles, tout en laissant presque aucune trace sur le disque.
Les chercheurs de CertiK affirment que la campagne utilise la technique ClickFix, où les victimes sont incitées à coller ce qui ressemble à des commandes de « réparation » ou de « vérification » directement dans le terminal macOS lors de faux flux de support ou de réunions. Dans ce cas, les leurres prennent la forme de fausses invitations à des réunions en ligne qui trompent les victimes en les incitant à coller des commandes de réparation malveillantes dans leurs terminaux Mac.
L’outil s’auto-supprime après utilisation pour compliquer les enquêtes, comme l’a noté l’analyse de CertiK.
Distribution et Impact
Selon la société de renseignement sur les menaces SOC Prime, le cadre « Mach-O Man » est lié à l’unité Famous Chollima de Lazarus et est distribué via des comptes Telegram compromis ainsi que de fausses invitations à des réunions ciblant des organisations crypto et financières de grande valeur. Cet outil, selon CoinDesk, comprend plusieurs binaires Mach-O conçus pour profiler l’hôte, établir une persistance et exfiltrer des identifiants et des données de navigateur via un système de commande et de contrôle basé sur Telegram.
Mandiant, une entité de Google Cloud, a précédemment décrit des campagnes macOS similaires mêlant ClickFix avec des deepfakes vidéo assistés par IA, de faux appels Zoom et des comptes de messagerie détournés pour inciter les cibles à exécuter des commandes obscurcies.
« La campagne a utilisé un compte Telegram compromis, une fausse réunion Zoom et une tromperie assistée par IA pour tromper les victimes en exécutant des commandes terminal conduisant à une chaîne d’infection macOS », ont écrit les chercheurs de Mandiant.
Conséquences Financières
La chercheuse de CertiK, Natalie Newson, a lié la dernière vague « Mach-O Man » à une poussée plus large de Lazarus qui a siphonné plus de 500 millions de dollars des plateformes DeFi Drift et KelpDAO en un peu plus de deux semaines. Dans ces incidents, Lazarus aurait combiné l’ingénierie sociale contre une société de trading avec une exploitation sophistiquée inter-chaînes, permettant aux attaquants de frapper environ 116 500 rsETH et de siphonner environ 292 millions de dollars en valeur.
LayerZero, qui fournit l’infrastructure de pont utilisée par KelpDAO, a déclaré que le groupe Lazarus de la Corée du Nord est le « probable acteur » derrière l’exploitation de rsETH et a blâmé un design de vérificateur à point de défaillance unique pour avoir permis le message inter-chaînes forgé.
« Lazarus cible l’écosystème des cryptomonnaies depuis des années, volant environ 2 milliards de dollars d’actifs virtuels en 2023 et 2024″, a rapporté le média de sécurité SecurityWeek, citant des campagnes précédentes activées par ClickFix.
Alors que DeFi subit déjà ce que les médias de recherche ont qualifié de son pire mois enregistré pour les hacks, les marchés intègrent désormais effectivement une autre exploitation de plus de 100 millions de dollars cette année, soulignant comment les attaquants liés à des États comme Lazarus sont devenus une menace systémique pour le secteur crypto.
