Kuzey Koreli Lazarus Grubu, Kripto ve Fintech Yöneticilerini Hedef Alan Yeni macOS Kötü Amaçlı Yazılım Kampanyası Başlattı

Kuzey Koreli Lazarus Grubu, kripto para ve fintech yöneticilerini hedef alan yeni bir macOS kötü amaçlı yazılım kampanyası başlattı. Kampanya, Mach-O Man olarak adlandırılıyor ve sahte çevrimiçi toplantı davetleri aracılığıyla kurbanları, cihazlarında kötü amaçlı komutlar çalıştırmaya yönlendiriyor. Blockchain güvenlik firması CertiK'e göre, saldırganlar bu yöntemi kullanarak yüksek değerli hedeflere ulaşmayı amaçlıyor.

Saldırı zinciri, Zoom, Microsoft Teams veya Google Meet gibi platformları taklit eden bir Telegram mesajıyla başlıyor. Mesajdaki bağlantı, kurbanın Mac terminaline bir komut yapıştırmasını isteyen sahte bir web sitesine yönlendiriyor. Bu komut, cihazda kötü amaçlı yazılımı kuruyor. Kötü amaçlı yazılım, cihazı profilliyor, kalıcılık sağlıyor ve kimlik bilgileri ile tarayıcı verilerini Telegram tabanlı bir komuta ve kontrol kanalından sızdırıyor. Özellikle, bu araç seti görevini tamamladıktan sonra otomatik olarak kendini siliyor, bu da tespit ve adli analizleri son derece zorlaştırıyor.

CertiK, Mach-O Man kampanyasını, son iki hafta içinde DeFi platformları Drift ve KelpDAO'dan 500 milyon dolardan fazla para çalmakla suçlanan daha geniş bir Lazarus saldırısıyla ilişkilendiriyor. Birleşmiş Milletler, Kuzey Koreli hacker'ların, ülkenin silah programlarını finanse etmek için 2017'den bu yana tahminen 6.7 milyar dolar değerinde dijital varlık çaldığını tahmin ediyor.

Saldırının tespiti, standart kimlik avı saldırılarına göre daha zor. Çünkü Mach-O Man, teslimat anında tamamen rutin görünmek üzere tasarlanmış. Kripto ve fintech yöneticileri, yatırımcılardan, araştırmacılardan ve iş ortaklarından düzenli olarak soğuk temaslar alırlar, bu da sahte toplantı daveti formatını, genel kimlik avında sıklıkla olmadığı gibi, inandırıcı bir tuzak haline getiriyor. CertiK, kripto para profesyonellerine, istenmeyen bir davetten herhangi bir bağlantıya tıklamadan veya herhangi bir ek yüklemeden önce tüm toplantı taleplerini ayrı bir kanal aracılığıyla bağımsız olarak doğrulamalarını tavsiye ediyor.

Sonuç olarak, Lazarus Grubu'nun bu yeni kampanyası, kripto ve fintech sektöründeki yöneticilere yönelik ciddi bir tehdit oluşturuyor. Saldırganların kullandığı sofistike yöntemler ve kötü amaçlı yazılımın kendini otomatik olarak silmesi, tespit ve mücadeleyi zorlaştırıyor.