Introduzione
Il gruppo Lazarus della Corea del Nord sta utilizzando il malware per macOS denominato “Mach-O Man” e inviti a riunioni falsi per dirottare i dirigenti del settore crypto e finanziare raid DeFi da nove cifre.
Dettagli della Campagna
Secondo quanto riportato dalla società di sicurezza blockchain CertiK, Lazarus ha avviato una nuova campagna di malware per macOS mirata specificamente ai dirigenti nel fintech e nel settore crypto. L’operazione, soprannominata “Mach-O Man”, combina ingegneria sociale e payload a livello terminale per rubare criptovalute e dati aziendali sensibili, lasciando quasi nessuna traccia su disco.
Tecniche Utilizzate
I ricercatori di CertiK affermano che la campagna si basa sulla tecnica ClickFix, in cui le vittime vengono attirate a incollare quelli che sembrano comandi di “riparazione” o “verifica” direttamente nel Terminale di macOS durante flussi di supporto o riunioni false. In questo caso, gli inganni arrivano sotto forma di inviti a riunioni online fasulli che inducano le vittime a incollare comandi di riparazione dannosi nei terminali Mac, con il toolkit che si auto-elimina dopo l’uso per ostacolare le indagini forensi.
“La campagna ha utilizzato un account Telegram compromesso, una riunione Zoom falsa e inganni assistiti da AI per indurre le vittime a eseguire comandi terminali che portano a una catena di infezione su macOS” – Ricercatori di Mandiant
Impatto e Conseguenze
La ricercatrice di CertiK, Natalie Newson, ha collegato l’ultima ondata di “Mach-O Man” a una spinta più ampia di Lazarus che ha sottratto oltre 500 milioni di dollari dalle piattaforme DeFi Drift e KelpDAO in poco più di due settimane. In quegli incidenti, Lazarus avrebbe combinato ingegneria sociale contro una società di trading con un sofisticato exploit cross-chain.
LayerZero, che fornisce l’infrastruttura del ponte utilizzata da KelpDAO, ha dichiarato che il gruppo Lazarus della Corea del Nord è il “probabile attore” dietro l’exploit rsETH e ha incolpato un design di verificatore a punto singolo di guasto per aver abilitato il messaggio cross-chain contraffatto.
Conclusioni
Con DeFi già in difficoltà, ciò che le agenzie di ricerca hanno definito il suo mese peggiore mai registrato per hack, i mercati stanno ora effettivamente prezzando un altro exploit di oltre 100 milioni di dollari quest’anno. Questo sottolinea come gli attaccanti legati agli stati, come Lazarus, siano diventati sistemici per il rischio crypto.
