Słynna północnokoreańska grupa hakerska "Lazarus Group" rozpoczęła nową, innowacyjną kampanię cyberataków, celując bezpośrednio w menedżerów wyższego szczebla w firmach z branży kryptowalut i technologii finansowej (FinTech).
Badacze bezpieczeństwa z firmy "CertiK" ujawnili w środę tę skomplikowaną operację, nazywając ją "Mach-O Man".
🪤 Jak działa pułapka? (Technika ClickFix)
Atak zaczyna się, gdy hakerzy wysyłają "pilne" zaproszenie na spotkanie dla celu przez platformę Telegram. Dołączony link wydaje się całkowicie naturalny i legalny dla spotkania na znanych platformach, takich jak Zoom, Microsoft Teams lub Google Meet.
⚠️ Zabójczy krok:
Po kliknięciu w link, pojawia się fałszywa strona, która wprowadza użytkownika w błąd, sugerując, że wystąpił "problem z połączeniem" i prosi o skopiowanie i wklejenie polecenia skryptowego w terminalu, aby naprawić usterkę. Gdy ofiara wykona to polecenie, atakujący zyskują natychmiastowy i pełny dostęp do systemów firmy, platform SaaS i kont finansowych!
💻 Precyzyjne celowanie w użytkowników Apple (Apple)
Natalie Newson, starsza badaczka bezpieczeństwa blockchain w CertiK, wyjaśniła, że to złośliwe oprogramowanie zostało specjalnie zaprojektowane w celu atakowania środowisk pracy systemów Mac. Narzędzie to zostało opracowane przez dział "Chollima" grupy Lazarus i z powodu jego niebezpieczeństwa inne grupy przestępcze zaczęły je stosować poza oryginalnymi operacjami Lazarus.
🕵️♂️ Dlaczego tak trudno wykryć to naruszenie?
Prawdziwe niebezpieczeństwo polega na tym, że to ofiara wykonuje ostatni krok samodzielnie.
Strona wygląda bardzo realnie i przekonująco.
Instrukcje wydają się być rutynową procedurą techniczną.
Standardowe systemy ochrony nie są zaprojektowane, aby zapobiec użytkownikowi uruchomienia skryptu, który dobrowolnie skopiował i wkleił.
Co gorsza, w momencie, gdy firma odkryje naruszenie, złośliwe oprogramowanie mogło całkowicie usunąć się, aby ukryć ślady przestępstwa.
🛡️ Podsumowanie: nigdy nie kopiuj ani nie wklejaj poleceń skryptowych (Terminal commands) do uruchomienia na swoim urządzeniu w celu rozwiązania problemów z połączeniem lub dołączeniem do spotkań, bez względu na to, jak oficjalnie lub pilnie wygląda zaproszenie.