AI News CryptoTRADE THE NEWS
A modern office with large windows, city skyline
Crypto

Des chercheurs lient un voleur macOS à Lazarus ciblant la…

Le kit utilise de faux leurres Zoom et Google Meet ainsi que des commandes ClickFix pour voler des données de Keychain et de navigateur, puis exfiltre via Telegram.

Par AI Newsbot5 min de lecture

Des chercheurs en sécurité ont lié un nouveau kit de malware macOS surnommé « Mach-O Man » à une campagne liée à Lazarus ciblant le personnel des entreprises de crypto et de fintech, ainsi que des entreprises traditionnelles.

L'opération repose sur de fausses invitations à des réunions vidéo et des invites de type ClickFix pour tromper les victimes afin qu'elles exécutent des commandes qui installent des malwares volants de données d'identification.

Points clés

  • Un nouveau kit de malware macOS surnommé « Mach-O Man » a été lié à une campagne du groupe Lazarus ciblant les entreprises de crypto et de fintech, ainsi que des entreprises traditionnelles.
  • La chaîne d'infection utilise de faux appels Zoom ou Google Meet et des invites de type ClickFix qui poussent les victimes à exécuter des commandes qui téléchargent des malwares en arrière-plan.
  • Le chargement final est un voleur conçu pour extraire les données des extensions de navigateur, les identifiants enregistrés, les cookies et les entrées du trousseau macOS.
  • Les données volées sont compressées et envoyées via Telegram, après quoi le malware exécute une routine de suppression automatique en utilisant la commande système « rm ».

Le « Mach-O Man » lié à Lazarus cible les utilisateurs de macOS dans les entreprises de crypto et de fintech.

Une campagne liée à Lazarus diffuse un nouveau kit de malware macOS surnommé « Mach-O Man », avec un ciblage qui inclut des entreprises de crypto, des entreprises de fintech et des entreprises non liées à la crypto.

L'activité a été signalée un mardi dans un rapport de Mauro Eldritch, un expert en sécurité offensive et fondateur de la société de renseignement sur les menaces BCA Ltd, bien que le matériel extrait ne précise pas la date exacte du calendrier.

Pour les participants au marché, l'étiquette Lazarus est importante car le groupe est associé à certains des plus grands vols du secteur. Il a été décrit comme le principal suspect dans le piratage de l'échange Bybit de 1,4 milliard de dollars en 2025, cité comme le plus important de l'industrie jusqu'à présent.

Cette histoire tend à comprimer le temps de réaction au sein des organisations crypto, même lorsqu'une nouvelle campagne n'est « qu'un » voleur de point de terminaison, car le chemin en aval passe souvent par les identifiants, les sessions et l'accès opérationnel.

Invitations Zoom/Meet falsifiées et commandes ClickFix : comment se produit l'infection

L'art de la manipulation est construit autour d'une exécution pilotée par l'utilisateur plutôt que d'une chaîne d'exploitation bruyante. Les cibles sont attirées dans un faux appel Zoom ou Google Meet et sont ensuite invitées à exécuter des commandes qui téléchargent le logiciel malveillant en arrière-plan.

Eldritch a décrit le flux comme permettant aux attaquants de contourner les contrôles traditionnels « sans détection » tout en accédant aux identifiants et aux systèmes d'entreprise.

Cela est important car cela déplace le point faible du rythme des correctifs vers le flux de travail humain. Une invite ClickFix est conçue pour ressembler à une étape de « correction » ou de configuration de routine.

Si une victime exécute la commande, l'attaquant obtient l'exécution de code sur un point de terminaison macOS qui a probablement déjà accès à des outils internes, des gestionnaires de mots de passe, des sessions de navigateur et un système d'authentification unique d'entreprise.

Ce que le voleur saisit—et comment l'exfiltration Telegram et l'auto-suppression fonctionnent

La charge utile de dernière étape est un voleur axé sur les artefacts qui se traduisent le plus rapidement par un accès : données d'extension de navigateur, identifiants de navigateur stockés, cookies, entrées du trousseau macOS et autres informations sensibles.

Dans les environnements crypto et fintech, ces magasins peuvent directement correspondre au risque de prise de contrôle de compte, y compris le détournement de session et les chemins d'accès privilégiés qui ne nécessitent pas de mouvement immédiat sur la chaîne pour être nuisibles.

Après la collecte, le logiciel malveillant archive les données volées dans un fichier zip et les exfiltre via Telegram. Il exécute ensuite un script d'auto-suppression qui supprime le kit en utilisant la commande système « rm », décrite comme contournant la confirmation et les autorisations de l'utilisateur lors de la suppression de fichiers.

La combinaison d'une exfiltration rapide et d'un comportement de nettoyage indique une priorité opérateur pour obtenir des données rapidement et réduire les résidus d'analyse une fois le vol terminé.

Le kit a été reconstruit en utilisant les capacités d'analyse macOS basées sur le cloud d'Any.run, fournissant une vue plus claire du comportement de mise en scène et de collecte.

Signaux à surveiller après la divulgation du « Mach-O Man »

Le premier signal est de savoir si d'autres entreprises de sécurité publient des indicateurs techniques indépendants qui corroborent l'attribution à Lazarus et permettent aux défenseurs de chasser de manière cohérente à travers les flottes. Sans partage plus large des IOC, le marché se retrouve avec un récit crédible mais une validation croisée limitée.

Le second est la preuve d'intrusions ultérieures qui correspondent au butin du voleur, y compris des tentatives d'accès contre les panneaux d'administration des échanges, le SSO d'entreprise ou les opérations de portefeuille liées au matériel de navigateur et de trousseau volé.

Les impacts déclarés de la campagne incluent des prises de contrôle de comptes, un accès non autorisé à l'infrastructure, des pertes financières et l'exposition de données critiques.

Deux inconnues opérationnelles sont également importantes. L'extrait fait référence à un drapeau « mardi » sans date, et il n'est pas clair à partir du matériel fourni si la campagne est en cours ou contenue. Enfin, un comportement variant est un indice.

Si les opérateurs déplacent l'exfiltration loin de Telegram ou modifient la routine d'auto-suppression basée sur rm, cela signalerait une adaptation à la détection et à la pression de réponse aux incidents.

Pourquoi les changements dans le Lazarus Tradecraft comptent plus que le nom du malware

Je me soucie moins du branding "Mach-O Man" que du flux de travail qu'il exploite. Les leurres de fausses réunions plus l'exécution ClickFix constituent un moyen propre de contourner de nombreuses hypothèses de périmètre et de point final, car l'utilisateur devient l'installateur et la ligne de commande devient le mécanisme de livraison.

Le seuil qui compte est de savoir si des artefacts de navigateur et de Keychain volés commencent à apparaître comme de véritables événements d'accès au sein des opérations crypto, et pas seulement comme une télémétrie de malware.

Si ce lien se maintient, la configuration commence à sembler structurelle plutôt que guidée par le récit, car elle transforme la navigation quotidienne sur macOS et les habitudes SSO en un événement de liquidité répétable pour les attaquants : capture rapide de crédentiels, exfiltration rapide et moins de traces laissées derrière.

Sources