慢霧首席資訊安全長 23pds 於 4 月 22 日發布警示,稱北韓駭客組織 Lazarus Group 已發布全新原生 macOS 惡意軟體工具包「Mach-O Man」,專門針對加密貨幣行業及高價值企業高管。
攻擊手法與目標
根據 Mauro Eldritch 的分析報告,本次攻擊採用 ClickFix 手法:攻擊者通過 Telegram(使用已被入侵的聯絡人帳號)發送偽裝成合法會議邀請的連結,將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站,並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。
攻擊目標資料包括:瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據,以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩;報告指出攻擊者暴露了 Telegram 機器人令牌(OPSEC 失誤),削弱了其行動安全性。
攻擊對象主要為金融科技及加密貨幣行業,以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。
Mach-O Man 工具包主要組件
根據 Mauro Eldritch 的技術分析,工具包由以下主要模組構成:
teamsSDK.bin:初始植入器,偽裝為 Teams、Zoom、Google 或系統應用,執行基本系統指紋識別
D1{隨機字串}.bin:系統分析器,收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器
minst2.bin:持久化模組,建立偽裝「Antivirus Service」目錄及 LaunchAgent,確保每次登入後持續執行
macrasv2:最終竊取器,收集瀏覽器憑證、Cookie 及 macOS Keychain 條目,打包後通過 Telegram 外洩並自我刪除
關鍵入侵指標(IOC)摘要
根據 Mauro Eldritch 報告發布的 IOC:
惡意 IP:172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
惡意域名:update-teams[.]live / livemicrosft[.]com
關鍵文件(部分): teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
C2 通訊端口: 8888 及 9999;主要使用 Go HTTP 用戶端 User-Agent 特徵字符串
完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。
常見問題
「Mach-O Man」工具包針對哪些行業和目標?
根據慢霧 23pds 的警示及 BCA LTD 的研究,「Mach-O Man」主要針對金融科技和加密貨幣行業,以及 macOS 廣泛使用的高價值企業環境,特別是開發者、高管和決策者群體。
攻擊者如何誘導 macOS 用戶執行惡意命令?
根據 Mauro Eldritch 的分析,攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結,將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站,提示用戶在 macOS 終端執行命令以「修復」連線問題,從而觸發惡意軟體安裝。
「Mach-O Man」如何實現數據外洩?
根據 Mauro Eldritch 的技術分析,最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包,通過 Telegram Bot API 外洩;同時攻擊者採用自我刪除腳本清除系統痕跡。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
加密駭客推動華爾街代幣化辯論
高知名度的加密貨幣漏洞測試了 DeFi 的風險,儘管不太可能打亂代幣化的進程;機構偏好許可式鏈,而更廣泛的代幣化必須與 DeFi 互通;穩定幣面臨審查,並可能引發監管反彈。
Crypto Frontier7小時前
Volo Protocol 在 Sui 駭客攻擊中損失 350 萬美元,承諾吸收損失並凍結駭客資金
Gate 新聞訊息,4 月 22 日——Volo Protocol 是 Sui 上的收益金庫營運商,昨日 (4 月 21 日) 宣布,在一宗價值 350 萬美元的漏洞事件之後,它已開始凍結被盜資產。駭客從 Volo Vaults 機槓走了 WBTC、XAUm 和 USDG,這標誌著近期最重大的一次 DeFi 資安事故,發生在該產業一個歷來特別嚴峻的月份之中。
GateNews10小時前
法國家庭在武裝入侵後被迫 $820K 以加密貨幣轉帳
Gate News 訊息,4 月 22 日——根據 The Block 的報導,法國布列塔尼大區的一個小鎮 Ploudalmézeau,週一 (4 月 20 日) 遭到兩名持械蒙面男子入侵。三名成年人被綁縛超過三小時,並被迫將約 700,000 歐元 (約 $820,000) 以加密貨幣轉移到由攻擊者控制的錢包中。嫌疑人駕車逃離;該車輛後來被警方在布雷斯特(Brest)找回,但目前尚未逮捕任何人。
此次事件屬於法國更廣泛的趨勢的一部分。今年截至目前,法國司法警察已記錄超過 40 起與加密貨幣相關的綁架或搶劫案件,較 2025 年約 30 起有所增加。先前的受害者包括一位串流創作者的家人、主要加密貨幣交易所的一名高管,以及一名女性法官。
GateNews11小時前
DOJ 啟動 OneCoin 詐欺受害者賠償流程,已追回資產 $40M+ 可供使用
Gate News 消息,4月22日 — 美國司法部已宣布啟動針對 OneCoin 加密貨幣詐欺計畫受害者的賠償流程,目前已有超過 $40 百萬美元的已追回資產可供分配。
該詐欺計畫由 Ruja
GateNews12小時前
AI16Z、ELIZAOS 造幣方因 26 億美元詐欺指控被起訴;代幣自巔峰暴跌 99.9%
聯邦集體訴訟指控 AI16Z/ELIZAOS 涉嫌透過虛假的 AI 聲稱與誤導性行銷進行價值 26 億美元的加密詐欺;指稱內部人士偏袒與一套被安排的自主系統;並根據消費者保護法尋求損害賠償。
摘要:本報告涵蓋一起於 4 月 21 日提出的 SDNY(紐約南區聯邦法院)聯邦集體訴訟,指控 AI16Z 及其改名後的 ELIZAOS 涉嫌涉及 26 億美元的加密詐欺,內容包含虛假的 AI 聲稱與誤導性行銷。訴訟指稱其刻意製造與 Andreessen Horowitz 之間的關聯,且運作的並非自主系統。報告詳述其在 2025 年初達到最高估值、下跌 99.9%,以及約 4,000 個虧損錢包,同時內部人士取得約 40% 的新代幣。原告依紐約與加州的消費者保護法尋求損害賠償與衡平救濟。韓國監管機構與主要交易所已對相關交易發出警告或暫停交易。
GateNews14小時前
SlowMist 警報:正在運作的 MacSync Stealer macOS 惡意程式,鎖定加密用戶
SlowMist 警告:MacSync Stealer (v1.1.2),針對 macOS 的惡意程式,會竊取錢包、憑證、鑰匙串以及基礎設施金鑰,透過偽造的 AppleScript 提示與虛假的「不支援」錯誤;呼籲提高警惕並留意 IOCs。
摘要:本報告彙整 SlowMist 對 MacSync Stealer (v1.1.2) 的警示內容,該惡意程式為 macOS 資訊竊取程式,目標鎖定加密貨幣錢包、瀏覽器憑證、系統鑰匙串以及基礎設施金鑰 (SSH、AWS、Kubernetes)。它透過偽造的 AppleScript 對話框來欺騙使用者,要求輸入密碼,並顯示可見的虛假「不支援」訊息。SlowMist 向客戶提供 IOCs,並建議避免執行未經驗證的 macOS 腳本,且對異常的密碼提示保持警覺。
GateNews15小時前
