北朝鮮のラザルスグループが、暗号通貨およびフィンテック分野のmacOSユーザーを標的とした新たなマルウェアキットを発表
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
北朝鮮のハッカーがMacユーザーを標的に
報道によると、この攻撃は、従業員がZoom、Microsoft Teams、Google Meetといった日常的なコミュニケーションツールに抱いている信頼を悪用したものであり、日常的な共同作業がシステムレベルの攻撃の温床となっている。.
最初のステップは、Telegramを通じた巧妙に仕組まれたソーシャルエンジニアリングの罠です。これにより、被害者(フィンテックや暗号通貨業界の開発者、経営幹部、意思決定者など)は、乗っ取られた同僚のアカウントからの緊急会議への招待へと誘い込まれます。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
北朝鮮のハッカーがMacユーザーを標的に
報道によると、この攻撃は、従業員がZoom、Microsoft Teams、Google Meetといった日常的なコミュニケーションツールに抱いている信頼を悪用したものであり、日常的な共同作業がシステムレベルの攻撃の温床となっている。.
最初のステップは、Telegramを通じた巧妙に仕組まれたソーシャルエンジニアリングの罠です。これにより、被害者(フィンテックや暗号通貨業界の開発者、経営幹部、意思決定者など)は、乗っ取られた同僚のアカウントからの緊急会議への招待へと誘い込まれます。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
北朝鮮のラザルス・グループが、macOSデバイスを標的とした高度なマルウェアを公開した。Mach-O Manと呼ばれるこのマルウェアは、仮想通貨関連企業、フィンテック企業、そして金融取引にMacを使用している経営幹部を標的とするように設計されている。.
この攻撃は2026年4月中旬に初めてdentされた。Zoom、Microsoft Teams、Google Meetといった人気の高い職場向けアプリを利用して、ソーシャルエンジニアリング攻撃を仕掛ける。.
北朝鮮のハッカーがMacユーザーを標的に
報道によると、この攻撃は、従業員がZoom、Microsoft Teams、Google Meetといった日常的なコミュニケーションツールに抱いている信頼を悪用したものであり、日常的な共同作業がシステムレベルの攻撃の温床となっている。.
最初のステップは、Telegramを通じた巧妙に仕組まれたソーシャルエンジニアリングの罠です。これにより、被害者(フィンテックや暗号通貨業界の開発者、経営幹部、意思決定者など)は、乗っ取られた同僚のアカウントからの緊急会議への招待へと誘い込まれます。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
北朝鮮のラザルス・グループが、macOSデバイスを標的とした高度なマルウェアを公開した。Mach-O Manと呼ばれるこのマルウェアは、仮想通貨関連企業、フィンテック企業、そして金融取引にMacを使用している経営幹部を標的とするように設計されている。.
この攻撃は2026年4月中旬に初めてdentされた。Zoom、Microsoft Teams、Google Meetといった人気の高い職場向けアプリを利用して、ソーシャルエンジニアリング攻撃を仕掛ける。.
北朝鮮のハッカーがMacユーザーを標的に
報道によると、この攻撃は、従業員がZoom、Microsoft Teams、Google Meetといった日常的なコミュニケーションツールに抱いている信頼を悪用したものであり、日常的な共同作業がシステムレベルの攻撃の温床となっている。.
最初のステップは、Telegramを通じた巧妙に仕組まれたソーシャルエンジニアリングの罠です。これにより、被害者(フィンテックや暗号通貨業界の開発者、経営幹部、意思決定者など)は、乗っ取られた同僚のアカウントからの緊急会議への招待へと誘い込まれます。
リンクをクリックすると、Zoom、Teams、またはMeetへの接続時に発生するエラーメッセージを模倣した、一見本物のウェブページが表示されます。そして、そのウェブサイトは、被害者に対し、一見無害なコードをMacのターミナルにコピー&ペーストして問題を「解決」するよう促します。.
攻撃の発信元が被害者自身であるため、被害者はGatekeeperなどのmacOSのセキュリティメカニズムを回避することができる
このコードを実行すると、teamsSDK.binという名前のバイナリがインストールされます。.
攻撃者は偽のmacOSアプリバンドルをダウンロードし、アドホック署名を使用してネイティブのコード署名ツールでデジタル署名します。その後、被害者にパスワードを繰り返し要求し、本物のように見える不自然な翻訳メッセージを表示します。.
偽のインストールプロセスが完了すると、窃盗犯はシステムフィンガープリンティング、永続性設定、およびペイロードのインストールを開始します。.
複雑な脆弱性を悪用する他の手法とは異なり、この手法はそうではありません。そのため、複数の同時呼び出しを処理しながらコマンドを検証せずにコピーする可能性のある、価値の高い標的に対して非常に効果的です。.
Mach-O Manマルウェアの内部
「Mach-O Man」マルウェアは複数のステージを使用し、各ステージではGoでコンパイルされたMach-Oバイナリが実行されます。このマルウェアには、ホスト名、UUID、CPU情報、ネットワーク構成、実行中のプロセスなどのシステム情報を収集するプロファイラモジュールが含まれています。
Chrome、Firefox、Safari、Brave、Opera、Vivaldiの各ブラウザに対応した拡張機能が用意されています。情報は、ポート8888と9999へのシンプルなcurl POSTリクエストを介してコマンド&コントロールサーバーに送信されます。.
永続モジュールminst2.binは、LaunchAgent plistファイル(com.onedrive.launcher.plist)をドロップし、ユーザーがログインするたびに、「OneDrive」または「アンチウイルスサービス」と呼ばれる正規のプロセスを装ってマルウェアが起動するようにします。
Macrasv2は、システムからデータを盗み出す最後のペイロードであり、ブラウザのログイン情報やSQLiteデータベースに保存されているCookie、そして機密性の高いキーチェーンエントリから情報を収集します。収集されたデータはすべて圧縮され、トークンが漏洩していたTelegramボットAPIを介して送信されます。.
ラザルス・グループが暗号通貨と米国テクノロジー業界に残した壊滅的な遺産
「マッハ・オー・マン」のローンチは、ラザルス・グループが金銭的利益のためにサイバー攻撃を実行するという長年の取り組みの一環である。これらの攻撃は、特に米国を拠点とする仮想通貨業界に甚大な損失をもたらしてきた。.
このグループは dent Axie Infinity) からの 6 億 2500 万ドルの盗難、Bybit からの 15 億ドルの盗難、DMM Bitcoin暗号の歴史上最大規模の盗難事件に関与していると特定されています。
暗号通貨のニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。無料です。
コメント (0)
$ボタンをクリックし、シンボルを入力して、株式、ETF、またはその他のティッカーシンボルをリンクします。