Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
GateRouter
Lựa chọn thông minh từ hơn 40 mô hình AI, với 0% phí bổ sung
Mist 23pds Cảnh báo: Lazarus Group phát hành bộ công cụ macOS mới nhắm vào tiền mã hóa
Chính viên phụ trách an ninh thông tin của Muxu 23pds đã công bố cảnh báo vào ngày 22 tháng 4, cho biết nhóm tin tặc Triều Tiên Lazarus Group đã phát hành một bộ công cụ mã độc nguyên sinh mới cho macOS mang tên “Mach-O Man”, được thiết kế chuyên nhắm vào ngành công nghiệp tiền mã hóa và các giám đốc điều hành doanh nghiệp giá trị cao.
Phương thức tấn công và mục tiêu
Theo báo cáo phân tích của Mauro Eldritch, lần tấn công này sử dụng kỹ thuật ClickFix: kẻ tấn công gửi một liên kết được ngụy trang thành lời mời họp hợp lệ thông qua Telegram (sử dụng tài khoản liên hệ đã bị xâm nhập), dẫn mục tiêu đến một trang web giả mạo như Zoom, Microsoft Teams hoặc Google Meet, đồng thời nhắc người dùng chạy lệnh trên terminal macOS để “khắc phục” sự cố kết nối. Thao tác này giúp kẻ tấn công giành được quyền truy cập vào hệ thống mà không kích hoạt các biện pháp kiểm soát an ninh truyền thống.
Dữ liệu mục tiêu bị nhắm đến bao gồm: các chứng chỉ và Cookie được lưu trong trình duyệt, dữ liệu Keychain trên macOS, và dữ liệu tiện ích mở rộng của các trình duyệt như Brave, Vivaldi, Opera, Chrome, Firefox và Safari. Dữ liệu bị đánh cắp được rò rỉ thông qua Telegram Bot API; báo cáo cho biết kẻ tấn công đã lộ token của bot Telegram (lỗi OPSEC), làm suy giảm tính an toàn trong hoạt động của chúng.
Đối tượng tấn công chủ yếu là các nhà phát triển, giám đốc điều hành và người ra quyết định trong môi trường doanh nghiệp giá trị cao nơi macOS được sử dụng rộng rãi, đặc biệt là trong ngành công nghệ tài chính và tiền mã hóa.
Các thành phần chính của bộ công cụ Mach-O Man
Theo phân tích kỹ thuật của Mauro Eldritch, bộ công cụ được cấu thành từ các mô-đun chính sau:
teamsSDK.bin: bộ cấy ban đầu, ngụy trang thành Teams, Zoom, Google hoặc ứng dụng hệ thống, thực hiện nhận dạng vân tay hệ thống cơ bản
D1{chuỗi ký tự ngẫu nhiên}.bin: bộ phân tích hệ thống, thu thập tên máy chủ, loại CPU, thông tin hệ điều hành và danh sách tiện ích mở rộng trình duyệt rồi gửi đến máy chủ C2
minst2.bin: mô-đun duy trì tính tồn tại, tạo thư mục ngụy trang “Antivirus Service” và LaunchAgent, đảm bảo thực thi liên tục sau mỗi lần đăng nhập
macrasv2: bộ đánh cắp cuối cùng, thu thập chứng chỉ trình duyệt, Cookie và các mục trong macOS Keychain, đóng gói sau đó rò rỉ qua Telegram và tự xóa
Tóm tắt các chỉ báo xâm nhập quan trọng (IOC)
Theo các IOC được Mauro Eldritch công bố trong báo cáo:
IP độc hại: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Tên miền độc hại: update-teams[.]live / livemicrosft[.]com
Tệp quan trọng (một phần): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Cổng giao tiếp C2: 8888 và 9999; chủ yếu sử dụng đặc trưng chuỗi User-Agent của Go HTTP client
Giá trị băm đầy đủ và ma trận ATT&CK xem chi tiết trong báo cáo nghiên cứu gốc của Mauro Eldritch.
Câu hỏi thường gặp
“Mach-O Man” nhắm vào những ngành và mục tiêu nào?
Theo cảnh báo của Muxu 23pds và nghiên cứu của BCA LTD, “Mach-O Man” chủ yếu nhắm vào ngành công nghệ tài chính và tiền mã hóa, cũng như môi trường doanh nghiệp giá trị cao nơi macOS được sử dụng rộng rãi, đặc biệt là nhóm nhà phát triển, giám đốc điều hành và người ra quyết định.
Kẻ tấn công dụ dỗ người dùng macOS thực thi lệnh độc hại như thế nào?
Theo phân tích của Mauro Eldritch, kẻ tấn công gửi qua Telegram các liên kết được ngụy trang thành lời mời họp hợp lệ, dẫn người dùng đến các trang web giả mạo như Zoom, Teams hoặc Google Meet, đồng thời nhắc người dùng thực thi lệnh trên terminal macOS để “khắc phục” sự cố kết nối, từ đó kích hoạt quá trình cài đặt mã độc.
“Mach-O Man” thực hiện rò rỉ dữ liệu như thế nào?
Theo phân tích kỹ thuật của Mauro Eldritch, mô-đun cuối cùng macrasv2 thu thập chứng chỉ trình duyệt, Cookie và dữ liệu Keychain trên macOS, sau đó đóng gói và rò rỉ qua Telegram Bot API; đồng thời kẻ tấn công sử dụng các script tự xóa để xóa dấu vết hệ thống.