SlowMist 23pds Peringatan: Grup Lazarus merilis paket alat macOS baru yang menargetkan mata uang kripto

Mengenai Peringatan yang diterbitkan pada 22 April, Kepala Keamanan Informasi Slow Fog 23pds menyatakan bahwa grup peretas Korea Utara Lazarus Group telah merilis paket alat malware asli macOS yang baru, “Mach-O Man”, yang secara khusus menargetkan industri mata uang kripto dan para eksekutif perusahaan bernilai tinggi.

Metode Serangan dan Target

Berdasarkan laporan analisis Mauro Eldritch, serangan kali ini menggunakan teknik ClickFix: pelaku mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram (dengan menggunakan akun kontak yang telah diretas), sehingga target diarahkan ke situs palsu yang meniru Zoom, Microsoft Teams, atau Google Meet, serta meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi. Operasi ini memungkinkan pelaku memperoleh hak akses ke sistem tanpa memicu kontrol keamanan tradisional.

Data target serangan mencakup: kredensial dan Cookie yang tersimpan di browser, data macOS Keychain, serta data ekstensi browser seperti Brave, Vivaldi, Opera, Chrome, Firefox, dan Safari. Data yang dicuri dibocorkan melalui Telegram Bot API; laporan menyebutkan bahwa pelaku mengekspos token bot Telegram (kesalahan OPSEC), yang melemahkan keamanan operasional tindakannya.

Target utama serangan adalah pengembang, eksekutif, dan pengambil keputusan di lingkungan bernilai tinggi yang secara luas menggunakan macOS, khususnya di industri fintech dan mata uang kripto.

Komponen Utama Paket Mach-O Man

Berdasarkan analisis teknis Mauro Eldritch, paket ini terdiri dari modul utama berikut:

teamsSDK.bin: penyuntik awal, disamarkan sebagai Teams, Zoom, Google, atau aplikasi sistem, dan menjalankan identifikasi sidik jari sistem dasar

D1{string acak}.bin: penganalisis sistem, mengumpulkan nama host, jenis CPU, informasi sistem operasi, serta daftar ekstensi browser, lalu mengirimkannya ke server C2

minst2.bin: modul persistensi, membuat direktori kamuflase “Antivirus Service” dan LaunchAgent untuk memastikan eksekusi berkelanjutan setelah setiap kali login

macrasv2: pencuri akhir, mengumpulkan kredensial browser, Cookie, dan entri macOS Keychain, lalu mengemasnya untuk dibocorkan melalui Telegram dan menghapus diri sendiri

Ringkasan Indikator Kompromi (IOC) Kunci

Berdasarkan IOC yang dipublikasikan dalam laporan Mauro Eldritch:

IP berbahaya: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

Nama domain berbahaya: update-teams[.]live / livemicrosft[.]com

Dokumen kunci (sebagian): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin

Port komunikasi C2: 8888 dan 9999; terutama menggunakan string karakteristik User-Agent pada klien Go HTTP

Nilai hash lengkap dan matriks ATT&CK selengkapnya lihat laporan penelitian asli Mauro Eldritch.

Pertanyaan yang Sering Diajukan

Paket “Mach-O Man” menargetkan industri dan target apa?

Menurut peringatan Slow Fog 23pds dan riset BCA LTD, “Mach-O Man” terutama menargetkan industri fintech dan mata uang kripto, serta lingkungan perusahaan bernilai tinggi yang secara luas menggunakan macOS, khususnya kelompok pengembang, eksekutif, dan pengambil keputusan.

Bagaimana penyerang memancing pengguna macOS agar menjalankan perintah berbahaya?

Berdasarkan analisis Mauro Eldritch, penyerang mengirim tautan yang disamarkan sebagai undangan rapat yang sah melalui Telegram, mengarahkan pengguna ke situs palsu yang meniru Zoom, Teams, atau Google Meet, lalu meminta pengguna menjalankan perintah di terminal macOS untuk “memperbaiki” masalah koneksi, sehingga memicu pemasangan malware.

Bagaimana “Mach-O Man” mewujudkan pencurian data?

Berdasarkan analisis teknis Mauro Eldritch, modul akhir macrasv2 mengumpulkan kredensial browser, Cookie, dan data macOS Keychain, lalu mengemasnya dan membocorkannya melalui Telegram Bot API; pada saat yang sama, penyerang menggunakan skrip penghapusan diri untuk membersihkan jejak sistem.