coindesk.com
Die staatlich geführte nordkoreanische Lazarus-Gruppe führt eine neue Kampagne mit dem Namen „Mach-O Man“ durch, die routinemäßige Geschäftskommunikation in einen direkten Weg zum Diebstahl von Zugangsdaten und Datenverlust verwandelt, warnten Sicherheitsexperten am Mittwoch.
Das Kollektiv, mit einem geschätzten kumulierten Beuteschaden von 6,7 Milliarden US-Dollar seit 2017, richtet sich an Führungskräfte und Unternehmen aus den Bereichen Fintech, Kryptowährungen und anderen hochkarätigen Branchen, sagte Natalie Newson, Senior Blockchain-Sicherheitsforscherin bei CertiK, am Mittwoch gegenüber CoinDesk.
Allein in den letzten zwei Wochen haben die nordkoreanischen Hacker haben durch die Exploits bei Drift und KelpDAO mehr als 500 Millionen US-Dollar abgezweigt in einer scheinbar anhaltenden Kampagne. Die Kryptoindustrie muss beginnen, Lazarus genauso zu betrachten wie Banken nationenstaatliche Cyberakteure: „als eine konstante und gut finanzierte Bedrohung, nicht nur als eine weitere Nachrichtenschlagzeile“, sagte sie.
"Was Lazarus derzeit besonders gefährlich macht, ist ihr Aktivitätsniveau“, sagte Newson. „KelpDAO, Drift und nun ein neues macOS-Malware-Kit, alles innerhalb desselben Monats. Dies ist kein zufälliges Hacken; es handelt sich um eine staatlich gesteuerte Finanzoperation, die in einem Ausmaß und Tempo abläuft, wie sie für Institutionen typisch sind.“
Nordkorea hat den Krypto-Diebstahl zu einer lukrativen nationalen Industrie gemacht, und Mach-O Man ist nur das neueste Produkt aus diesem Prozess, sagte sie. Während Lazarus es entwickelt hat, nutzen es auch andere Cyberkriminalitätsgruppen.
„Es handelt sich um ein modulares macOS-Malware-Kit, das von der berüchtigten Chollima-Division der Lazarus Group entwickelt wurde. Es verwendet native Mach-O-Binärdateien, die speziell für Apple-Umgebungen zugeschnitten sind, in denen Krypto und Fintech operieren“, sagte sie.
Newson sagte, dass Mach-O Man eine Zustellmethode verwendet, die als ClickFix bekannt ist. „Es ist wichtig, dies klarzustellen, da in vielen Berichten zwei verschiedene Dinge vermischt werden“, bemerkte sie. ClickFix ist eine Social-Engineering-Technik, bei der das Opfer aufgefordert wird, einen Befehl in sein Terminal einzufügen, um ein simuliertes Verbindungsproblem zu beheben.
Es funktioniert, indem Lazarus Führungskräften eine „dringende“ Einladung zu einem Meeting über Telegram sendet, das über Zoom, Microsoft Teams oder Google Meet abgehalten wird, laut Mauro Eldritch, ein Sicherheitsexperte und Gründer der Threat-Intelligence-Firma BCA Ltd.
Der Link führt zu einer gefälschten, aber überzeugenden Website, die die Nutzer anweist, einen einfachen Befehl in das Terminal ihres Mac zu kopieren und einzufügen, um ein "Verbindungsproblem zu beheben." Dabei gewähren die Opfer unmittelbaren Zugriff auf Unternehmenssysteme, SaaS-Plattformen und finanzielle Ressourcen. Meistens ist es bereits zu spät, wenn sie feststellen, dass sie ausgenutzt wurden.
Es gibt mehrere Varianten dieses Angriffs, der Sicherheitsexperte Vladimir S. erklärte auf X. Es gibt bereits Fälle, in denen Lazarus-Angreifer mit dieser neuen Malware die Domains von dezentralen Finanzprojekten (DeFi) übernommen haben, indem sie deren Websites durch eine gefälschte Nachricht von Cloudflare ersetzten, die die Nutzer auffordert, einen Befehl zur Zugriffserlaubnis einzugeben.
"Diese gefälschten 'Verifizierungsschritte' führen die Opfer durch Tastenkombinationen, die einen schädlichen Befehl ausführen“, sagte Newson von Certik. „Die Seite sieht authentisch aus, die Anweisungen wirken normal, und das Opfer führt die Aktion selbst aus – weshalb herkömmliche Sicherheitskontrollen dies oft nicht erkennen.“
Die meisten Opfer dieses Hacks werden nicht erkennen, dass ihre Sicherheit verletzt wurde, bis der Schaden bereits angerichtet ist, zu diesem Zeitpunkt wird die Malware sich bereits selbst gelöscht haben.
„Sie wissen es wahrscheinlich noch nicht“, sagte sie. „Wenn doch, können sie vermutlich nicht genau bestimmen, welche Variante sie betroffen hat.“