Знаменитая северокорейская хакерская группа "Lazarus Group" запустила новую и инновационную кампанию кибератак, нацеленную напрямую на топ-менеджеров крипто- и финтех-компаний.
Исследователи в области кибербезопасности из компании "CertiK" раскрыли в среду эту сложную операцию и назвали её "Mach-O Man".
🪤 Как устроена ловушка? (Техника ClickFix)
Атака начинается, когда хакеры отправляют жертве приглашение на "срочную" встречу через платформу Telegram. Прикрепленная ссылка выглядит совершенно естественно и легитимно для встречи на известных платформах, таких как Zoom, Microsoft Teams или Google Meet.
⚠️ Убийственный шаг:
Как только вы нажимаете на ссылку, открывается фальшивая страница, которая вводит пользователя в заблуждение, утверждая, что "возникла проблема с подключением", и просит его скопировать и вставить программную команду в командной строке (Terminal) для исправления ошибки. Как только жертва выполняет эту команду, злоумышленники получают немедленный и полный доступ к системам компании, SaaS-платформам и финансовым счетам!
💻 Точное нацеливание на пользователей Apple
Натали Ньюсон, старший исследователь безопасности блокчейна в CertiK, отметила, что это вредоносное ПО специально разработано для нацеливания на рабочие среды систем Mac. Этот инструмент был разработан отделом "Chollima" группы Lazarus, и из-за своей опасности другие преступные группы начали использовать его за пределами оригинальных операций Lazarus.
🕵️♂️ Почему так сложно обнаружить этот взлом?
Истинная опасность заключается в том, что жертва сама выполняет последний шаг.
Страница выглядит реальной и очень убедительной.
Инструкции выглядят как стандартная техническая процедура.
Обычные системы защиты не предназначены для предотвращения выполнения пользователем скрипта, который он скопировал и вставил добровольно.
Худшее в том, что к моменту, когда компания обнаружит взлом, вредоносное ПО может полностью удалить себя, чтобы скрыть следы преступления.
🛡️ Вывод: никогда не копируйте и не вставляйте программные команды (Terminal commands) для выполнения на вашем устройстве, чтобы решить проблемы с подключением или присоединением к встречам, насколько бы официальным или срочным ни казалось приглашение.