Північнокорейське угруповання Lazarus Group запустило нову хвилю атак проти крипто- та фінтех-компаній, використовуючи фейкові відеодзвінки як інструмент для зараження пристроїв на macOS. Свідчать дані CertiK.
Сценарій атаки починається із запрошення на онлайн-зустріч через популярні сервіси, зокрема Zoom або Google Meet. Потенційну жертву перенаправляють на підроблений сайт, де пропонують нібито виправити “проблему з підключенням”. Для цього користувачеві пропонують самостійно ввести команду в терміналі, що фактично відкриває зловмисникам доступ до системи.
Атака використовує метод ClickFix – форму соціальної інженерії, за якої користувач власноруч запускає шкідливий код. Саме це, на думку аналітиків, робить атаку особливо небезпечною, оскільки вона обходить частину традиційних засобів захисту, адже дії виглядають легітимними.
За словами дослідників, Mach-O Man складається з модульного набору шкідливих програм, які використовують нативні бінарні файли macOS. Після виконання завдань шкідливе ПЗ може самознищуватися, що суттєво ускладнює його виявлення та аналіз.
Ціллю стали фінтех і криптокомпанії
Основними мішенями кампанії називають керівників і співробітників компаній у сферах фінансових технологій та цифрових активів. У CertiK наголошують, що подібні атаки вже вийшли за межі окремих інцидентів і набувають ознак масштабної скоординованої операції.
За оцінками аналітиків, активність Lazarus останнім часом різко зросла. Угруповання пов’язують із нещодавніми атаками на KelpDAO і Drift Protocol, а сумарні втрати від пов’язаних інцидентів, за оцінками експертів, сягнули майже $600 млн.
У CertiK наголошують, що ці операції варто розглядати не як окремі злочини, а як системну загрозу.
“Подібні операції слід розглядати як системну загрозу з боку держави, а не як окремі атаки”, — зазначили дослідники.
На думку експертів, рівень координації Lazarus, а також масштаб кампаній свідчать про ресурси, характерні для державних структур.
Невидимий злам
Додатковий ризик полягає в тому, що жертви можуть довго не підозрювати про компрометацію систем. Через здатність шкідливого ПЗ видаляти себе після проникнення факт злому часто стає очевидним лише після втрати коштів або витоку даних.
Експерти попереджають, що ключова небезпека кампанії – не лише у технічному рівні шкідливого коду, а й у використанні довіри як інструмента атаки. Саме тому криптокомпаніям радять посилювати внутрішні процедури перевірки онлайн-комунікацій та мінімізувати ручне виконання команд працівниками.
