Щойно дізнався про щось, що шириться у колах безпеки, і це варто враховувати, якщо ви в криптосфері. Дослідники підтвердили, що Lazarus Group — група, пов’язана з Північною Кореєю, яка стоїть за деякими з найбільших криптовалютних крадіжок, веде нову кампанію з malware для macOS. Вона називається Mach-O Man, і її поширюють через щось під назвою ClickFix — фреймворк соціальної інженерії, який охоплює досить широку аудиторію як традиційних бізнесів, так і криптокомпаній.

Ось що насправді відбувається: жертви отримують те, що виглядає як легітимне запрошення у календарі на Zoom або Google Meet. Здається, нормально, так? Але після натискання вони отримують запит запустити кілька команд, які тихо завантажують malware у фоновому режимі. Це хитро, бо обходить багато стандартних засобів безпеки, на які покладаються більшість людей. Весь процес спрямований на збір облікових даних, даних браузера, cookies і записів у менеджері ключів — фактично будь-чого цінного, що зберігається на вашому комп’ютері. Як тільки все зібрано, воно стискається і відправляється через Telegram, після чого malware самостійно видаляється.

Що варто відзначити: це вже не просто про крипту. Lazarus поступово розширює свою цільову аудиторію за останні кілька місяців. Ми бачили, як вони зламали Zerion у квітні, використовуючи AI-підсилену соціальну інженерію для отримання облікових даних команд і приватних ключів. Перед тим був великий злам біржі у 2025 році на суму 1,4 мільярда доларів — один із найбільших втрат у криптовалюті за історією. Модель очевидна: вони стають все більш витонченими і амбіційними.

Особливо цікаво, що macOS — це напрямок, на який раніше зосереджувалися переважно команди безпеки, орієнтуючись на Windows. Це залишило деякі прогалини, особливо у контролі додатків і обізнаності користувачів на системах Apple. Lazarus явно помітив це і використовує цю можливість.

Для тих, хто керує криптобізнесом або має справу з чутливою інфраструктурою, це сигнал до пробудження. Поєднання соціальної інженерії та крадіжки облікових даних залишається одним із найскладніших векторів атак для захисту. Якщо ви ще не думаєте про мінімальні привілеї, дозволи на застосунки та моніторинг підозрілих сценаріїв завантаження і запуску — час починати. Також варто переглянути, які дані можуть витікати через несподівані канали, наприклад, Telegram.

Загальний висновок: навіть коли загрози, специфічні для крипти, залишаються у центрі уваги, зловмисники розширюють свою діяльність і на інші сфери. Це означає, що кількість точок уразливості для бірж, кастодіанів і провайдерів інфраструктури постійно зростає. Слідкуйте за цим напрямком — ймовірно, з’являться нові варіанти цього malware із ще більшою кількістю ухилень. Злиття соціальної інженерії, автоматизованої крадіжки облікових даних і самостійного видалення стає реальною проблемою для захисників у всій галузі.