セキュリティ研究者は、仮想通貨業界における大規模な窃盗事件の背後にいる北朝鮮関連のハッキング組織「ラザルス・グループ(Lazarus Group)」に関連する、新しいmacOS向けマルウェアキャンペーンを特定した。
火曜日に報告されたこの「Mach-O Man」と呼ばれるマルウェアキットは、従来の企業や仮想通貨企業を対象とした「ClickFix」ソーシャルエンジニアリングスキームを介して配布されている。脅威インテリジェンス企業BCA Ltdの創設者でセキュリティ専門家のマウロ・エルドリッチ氏によると、被害者は偽のZoomやGoogle Meetの会議に誘い込まれ、バックグラウンドでマルウェアをダウンロードするコマンドの実行を促されるという。
この手法により、攻撃者は検知されることなく従来の制御を回避し、認証情報や企業システムへのアクセス権を取得する。研究者は、このキャンペーンがアカウントの乗っ取り、インフラへの不正アクセス、金銭的損失、および機密データの流出を招く可能性があると指摘。ラザルスが仮想通貨ネイティブ企業以外にも標的を拡大し続けている実態を強調した。
ラザルス・グループは、2025年に発生した仮想通貨取引所バイビット(Bybit)からの14億ドルのハッキング事件(業界最大規模)の主犯格と見なされている。
「Mach-O Man」キットによる情報窃取の仕組み
キャンペーンの最終段階では、感染したデバイスからブラウザの拡張機能データ、保存された認証情報、クッキー、macOSのキーチェーン(Keychain)エントリー、その他の機密情報を抽出するように設計されたスティーラー(情報窃取型マルウェア)が作動する。
収集されたデータはZIPファイルにアーカイブされ、Telegramを通じて攻撃者に送信される。その後、マルウェアの自己削除スクリプトがシステムの「rm」コマンドを使用してキット全体を消去する。このコマンドは、ファイルの削除時にユーザーの確認や権限をバイパスして実行される。
この新しいマルウェアキットは、クラウドベースのマルウェアサンドボックス「Any.run」のmacOS分析機能を通じて再構成された。
4月15日の報道によると、北朝鮮のハッカーは4月初旬、AIを活用したソーシャルエンジニアリングを用いて仮想通貨ウォレット「Zerion(ゼリオン)」から約10万ドルの資金を盗み出した。これは、チームメンバーのセッションや認証情報、秘密鍵へのアクセスを悪用したものである。
