MàJ 23pds Avertissement : Lazarus Group publie un nouveau kit d’outils macOS destiné aux crypto-monnaies

Le directeur de la sécurité de l’information de Mandiant 23pds, a publié le 22 avril une alerte indiquant que le groupe de pirates nord-coréen Lazarus Group a mis en circulation un tout nouvel ensemble d’outils de logiciels malveillants natifs pour macOS, baptisé « Mach-O Man », conçu spécifiquement pour le secteur des cryptomonnaies et pour des cadres dirigeants d’entreprises à forte valeur.

Méthodes d’attaque et cibles

D’après le rapport d’analyse de Mauro Eldritch, cette attaque utilise la technique ClickFix : l’attaquant envoie, via Telegram (en utilisant des comptes de contacts qui ont été compromis), des liens déguisés en invitations à des réunions légitimes, afin d’amener la cible vers un faux site imitant Zoom, Microsoft Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion. Cette opération permet à l’attaquant d’obtenir un accès aux systèmes sans déclencher les mesures de sécurité classiques.

Les données visées par l’attaque comprennent : les identifiants et cookies stockés par le navigateur, les données du trousseau Keychain de macOS, ainsi que les données d’extensions des navigateurs comme Brave, Vivaldi, Opera, Chrome, Firefox et Safari. Les données exfiltrées sont divulguées via l’API Telegram Bot. Le rapport indique que l’attaquant a exposé des jetons de son bot Telegram (erreur OPSEC), ce qui affaiblit sa sécurité opérationnelle.

Les cibles de l’attaque sont principalement des développeurs, cadres et décideurs évoluant dans des environnements d’entreprises à forte valeur utilisant largement macOS, notamment dans la fintech et l’industrie des cryptomonnaies.

Principaux composants de l’ensemble d’outils Mach-O Man

D’après l’analyse technique de Mauro Eldritch, la trousse est composée des modules principaux suivants :

teamsSDK.bin : l’implanteur initial, déguisé en Teams, Zoom, Google ou en application système, et chargé de l’identification de base de l’empreinte système

D1{chaîne de caractères aléatoire}.bin : l’analyseur système, qui collecte le nom de l’hôte, le type de CPU, les informations du système d’exploitation ainsi que la liste des extensions de navigateur, puis les envoie au serveur C2

minst2.bin : le module de persistance, qui crée les répertoires et LaunchAgent du déguisement « Antivirus Service » afin d’assurer une exécution continue après chaque connexion

macrasv2 : le voleur final, qui collecte les identifiants de navigateur, les cookies et les entrées du trousseau macOS Keychain, puis empaquette les éléments avant de les exfiltrer via Telegram et de se supprimer lui-même

Résumé des indicateurs clés d’intrusion (IOC)

D’après les IOC publiées dans le rapport de Mauro Eldritch :

IP malveillante : 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

Nom de domaine malveillant : update-teams[.]live / livemicrosft[.]com

Fichiers clés (partiel) : teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin

Ports de communication C2 : 8888 et 9999 ; utilisation principalement de la chaîne caractéristique User-Agent du client HTTP Go

Les valeurs de hachage complètes et la matrice ATT&CK sont consultables dans le rapport de recherche original de Mauro Eldritch.

Questions fréquentes

À quelles industries et à quels objectifs le kit « Mach-O Man » est-il destiné ?

D’après l’alerte de Mandiant 23pds et la recherche de BCA LTD, « Mach-O Man » cible principalement l’industrie de la fintech et des cryptomonnaies, ainsi que les environnements d’entreprises à forte valeur où macOS est largement utilisé, en particulier les groupes de développeurs, cadres et décideurs.

Comment les attaquants incitent-ils les utilisateurs macOS à exécuter des commandes malveillantes ?

D’après l’analyse de Mauro Eldritch, l’attaquant envoie via Telegram des liens déguisés en invitations à des réunions légitimes, ce qui amène l’utilisateur à visiter de faux sites imitant Zoom, Teams ou Google Meet, puis invite l’utilisateur à exécuter des commandes dans le terminal macOS pour « réparer » les problèmes de connexion, déclenchant ainsi l’installation du logiciel malveillant.

Comment « Mach-O Man » réalise-t-il l’exfiltration des données ?

D’après l’analyse technique de Mauro Eldritch, le module final macrasv2 collecte les identifiants de navigateur, les cookies et les données du trousseau macOS Keychain, puis les empaquette avant de les exfiltrer via Telegram Bot API ; en parallèle, l’attaquant utilise un script de suppression automatique pour effacer les traces du système.