Cryptonews

Le groupe Lazarus est devenu particulièrement dangereux avec la nouvelle attaque Mach-O Man : CertiK

Source
cryptonewstrend.com
Publié
Le groupe Lazarus est devenu particulièrement dangereux avec la nouvelle attaque Mach-O Man : CertiK

Le groupe Lazarus, géré par l'État nord-coréen, mène une nouvelle campagne connue sous le nom de « Mach-O Man » qui transforme les communications professionnelles courantes en une voie directe vers le vol d'identifiants et la perte de données, ont prévenu mercredi des experts en sécurité.

Le collectif, avec un butin cumulé estimé à 6,7 milliards de dollars depuis 2017, cible les fintech, les crypto-monnaies et d'autres dirigeants et entreprises de grande valeur, a déclaré mercredi à CoinDesk Natalie Newson, chercheuse principale en sécurité blockchain chez CertiK.

Au cours des deux dernières semaines seulement, les pirates nord-coréens ont siphonné plus de 500 millions de dollars grâce aux exploits Drift et KelpDAO dans ce qui semble être une campagne soutenue. L’industrie de la cryptographie doit commencer à considérer Lazarus de la même manière que les banques considèrent les cyberacteurs nationaux : « comme une menace constante et bien financée, et non comme un simple titre de l’actualité », a-t-elle déclaré.

"Ce qui rend Lazarus particulièrement dangereux en ce moment, c'est son niveau d'activité", a déclaré Newson. "KelpDAO, Drift et maintenant un nouveau kit de malware macOS, le tout dans le même mois. Il ne s'agit pas d'un piratage aléatoire ; il s'agit d'une opération financière dirigée par l'État et exécutée à une échelle et à une vitesse typiques des institutions."

La Corée du Nord a transformé le vol de crypto-monnaie en une industrie nationale lucrative, et Mach-O Man n'est que le dernier produit issu de ce processus, a-t-elle déclaré. Même si Lazarus l’a créé, d’autres groupes de cybercriminalité l’utilisent également.

"Il s'agit d'un kit modulaire de logiciels malveillants macOS créé par la tristement célèbre division Chollima du groupe Lazarus. Il utilise des binaires Mach-O natifs adaptés aux environnements Apple où opèrent la cryptographie et la fintech", a-t-elle déclaré.

Newson a déclaré que Mach-O Man utilise une méthode de livraison connue sous le nom de ClickFix. « Il est important d'être clair, car de nombreux reportages mélangent deux choses distinctes », a-t-elle noté. ClickFix est une technique d'ingénierie sociale dans laquelle la victime est invitée à coller une commande dans son terminal pour résoudre un problème de connexion simulé.

Cela fonctionne en envoyant aux dirigeants une invitation à une réunion « urgente » via Telegram pour un appel Zoom, Microsoft Teams ou Google Meet, selon Mauro Eldritch, expert en sécurité et fondateur de la société de renseignement sur les menaces BCA Ltd.

Le lien mène à un site Web faux, mais convaincant, qui leur demande de copier et coller une simple commande dans le terminal de leur Mac pour « résoudre un problème de connexion ». Ce faisant, les victimes fournissent un accès immédiat aux systèmes de l’entreprise, aux plateformes SaaS et aux ressources financières. Lorsqu’ils découvrent qu’ils ont été exploités, il est généralement trop tard.

Il existe plusieurs variantes de cette attaque, a déclaré le chercheur sur les menaces de sécurité Vladimir S. sur X. Il existe déjà des cas où des attaquants de Lazarus ont détourné les domaines de projets de finance décentralisée (DeFI) avec ce nouveau malware en remplaçant leurs sites Web par un faux message de Cloudflare, leur demandant de saisir une commande pour accorder l'accès.

"Ces fausses 'étapes de vérification' guident les victimes à travers des raccourcis clavier qui exécutent une commande nuisible", a déclaré Newson de Certik. "La page semble réelle, les instructions semblent normales et la victime initie elle-même l'action - c'est pourquoi les contrôles de sécurité traditionnels la manquent souvent."

La plupart des victimes de ce piratage ne se rendront pas compte que leur sécurité a été violée jusqu'à ce que le mal soit fait, après quoi le malware se sera également effacé.

«Ils ne le savent probablement pas encore», a-t-elle déclaré. "S'ils le font, ils ne pourront probablement pas identifier quelle variante les a affectés."