Группа Lazarus атакует macOS: новый вредоносный комплект Mach-O Man крадёт данные через фейковые встречи

Киберпреступники из северокорейской группировки Lazarus, известной своими целевыми атаками на бизнес и финансовый сектор, осваивают новую операционную среду. Их недавняя кампания, использующая социальную инженерию по схеме ClickFix, теперь включает в себя специально разработанный вредоносный комплект для macOS под названием Mach-O Man. Эта атака обходит традиционные средства защиты, эксплуатируя доверие пользователей к коллегам и рутинным рабочим процессам, что создаёт значительные риски для компаний, использующих устройства Apple.

Описание

Вместо поиска технических уязвимостей в программном обеспечении, злоумышленники создают тщательно проработанные сценарии на основе фишинга. Жертвами становятся сотрудники и руководители, которые используют Telegram для делового общения. Атака начинается с сообщения от, казалось бы, знакомого контакта - часто это взломанный аккаунт коллеги или делового партнёра. В сообщении содержится ссылка на срочную встречу в Zoom, Microsoft Teams или Google Meet. Однако ссылка ведёт не на легитимную платформу, а на её искусную подделку.

На фейковой странице пользователь сталкивается с сообщением об ошибке подключения. Для её "исправления" предлагается скопировать и выполнить определённую команду в терминале macOS. Этот ключевой момент - классический приём социальной инженерии, где действие совершает сам пользователь, что минимизирует подозрения систем безопасности. Выполнение команды запускает цепочку заражения, первый этап которой - загрузка и запуск начального компонента вредоноса, стагера (stager).

Как обнаружили исследователи, стагер, маскирующийся под SDK для платформ видеоконференций (например, teamsSDK.bin), загружает на компьютер жертвы поддельное приложение macOS. Оно имитирует интерфейс Zoom, Teams или системные запросы macOS и трижды запрашивает пароль пользователя, используя нарочито плохой английский язык. Первые две попытки всегда завершаются "ошибкой" с визуальной тряской окна, а третья - якобы успехом, после чего показывается логотип Zoom. Эта инсценировка нужна для легитимизации процесса в глазах пользователя. Параллельно в фоновом режиме происходит загрузка следующего модуля и сбор базовой информации о системе через системные вызовы.

Второй этап - профилировщик. Этот модуль, с характерной для многих компонентов комплекта "вежливой" справкой при запуске без аргументов, проводит глубокий сбор данных о системе. Он определяет hostname, тип процессора, время загрузки ОС, сетевые настройки, список запущенных процессов и, что критически важно, перечень установленных расширений в популярных браузерах (Brave, Vivaldi, Opera, Chrome, Firefox, Safari). Собранный профиль отправляется на командный сервер злоумышленников (C2). Интересно, что из-за ошибок в коде этот модуль иногда входит в бесконечный цикл, многократно отправляя одни и те же данные, что может выдать его присутствие из-за повышенного потребления ресурсов.

Следующий шаг - обеспечение постоянного присутствия в системе (persistence). Для этого загружается модуль, который создаёт в системе папку "Antivirus Service" и размещает в ней исполняемый файл. Затем он регистрирует LaunchAgent - механизм macOS для автоматического запуска программ при входе пользователя в систему, аналогичный службам Windows. Это гарантирует, что вредоносная активность продолжится даже после перезагрузки компьютера.

Кульминацией атаки является финальный модуль - стилер под названием macrasv2. Его задача - консолидировать и похитить все ценные данные. Он целенаправленно ищет и копирует сохранённые в браузерах логины, пароли, cookies (часто хранящиеся в SQLite-базах), данные из связки ключей macOS (Keychain), а также другие файлы, представляющие интерес. Вся эта информация упаковывается в архив и готовится к отправке.

Канал эксфильтрации выбран дерзко и одновременно неосторожно - Telegram. Вредонос использует Telegram Bot API для пересылки украденных данных. Однако, как отмечают аналитики, в коде стилера разработчики оставили открытый токен бота. Эта серьёзная оплошность в операционной безопасности не только позволяет сторонним исследователям читать перехваченные данные и идентифицировать владельца бота, но и потенциально упрощает процедуры его блокировки. После успешной отправки данных вредонос запускает скрипт самоуничтожения, удаляющий основные компоненты с диска.

Технический анализ всего комплекса выявил ряд слабостей: нестабильный код, ведущий к сбоям, использование ad-hoc подписи кода (что является попыткой обойти встроенные в macOS механизмы проверки Gatekeeper без настоящего сертификата разработчика), а также экспозиция критически важной инфраструктуры. Сетевой трафик вредоноса использует порты 8888 и 9999, а в HTTP-запросах фигурирует стандартный User-Agent языка Go (Go-http-client), что подтверждает использование этого языка для сборки большинства компонентов.

Для компаний, особенно в сферах финансов, технологий и исследований, где macOS популярен среди разработчиков и руководства, эта кампания представляет прямую угрозу. Последствия успешной атаки включают в себя полный компрометацию корпоративных аккаунтов, несанкционированный доступ к SaaS-платформам и внутренним системам, прямые финансовые потери через мошеннические операции, а также утечку коммерческой тайны и персональных данных, ведущую к репутационным и регуляторным рискам. Защита от подобных атак требует смещения фокуса с исключительно технических средств на комплексный подход, включающий регулярное обучение сотрудников распознаванию фишинга, строгую политику проверки нестандартных запросов на выполнение команд, а также внедрение решений для поведенческого анализа и песочниц (sandbox), способных детектировать подозрительную активность на разных платформах, включая macOS, в рамках единого процесса расследования инцидентов.