- Хакери використовують ділове листування як точку входу в системи.
- Атака орієнтована на фінтех і криптокомпанії.
- Шкідливе ПЗ маскується під виправлення помилки підключення.
Північнокорейське хакерське угруповання Lazarus Group розпочало нову кампанію під назвою Mach-O Man, спрямовану на користувачів macOS. За даними CertiK, зловмисники використовують соціальну інженерію, маскуючи атаку під звичайні ділові комунікації.
Основний сценарій атаки передбачає запрошення на онлайн-зустріч через популярні сервіси на кшталт Zoom або Google Meet. Жертву перенаправляють на підроблений сайт, де їй пропонують ввести команду в терміналі для усунення «проблеми з підключенням», тим самим відкриваючи доступ до системи.
Lazarus Group Just Released “Mach-O Man” – A Brand-New Native macOS Malware Kit Targeting Fintech, Crypto, and High-Value Executives
You get an “urgent” meeting invite over Telegram for a Zoom, Teams, or Google Meet call. The link leads to a convincing fake website that tells…— Vladimir S. | Officer's Notes (@officer_secret) April 21, 2026
Атака ґрунтується на методі ClickFix — формі соціальної інженерії, за якої користувач сам запускає шкідливу команду. Це робить традиційні механізми захисту менш ефективними, оскільки дії виглядають легітимними.
За словами дослідників, Mach-O Man являє собою модульний набір шкідливих програм, що використовує нативні бінарні файли macOS. Після виконання завдання він може самознищуватися, ускладнюючи виявлення та аналіз атаки.
Кампанія націлена на криптоіндустрію
Основною метою кампанії є керівники та співробітники компаній у сферах фінтеху та цифрових активів. Експерти зазначають, що атаку вже використовують не лише північнокорейці, а й інші кіберзлочинні угруповання.
За оцінками аналітиків, активність Lazarus значно зросла. Лише за останні тижні хакери, пов’язані з цим угрупованням, могли бути причетні до інцидентів із KelpDAO і Drift Protocol.
Сумарні втрати від цих атак сягнули майже $600 млн.
Вкрасти за 60 секунд: як хакер зломав Drift Protocol на $280 млн і шокував DeFi-ринок 02.04.2026 Читати
У CertiK підкреслюють, що подібні операції слід розглядати як системну загрозу з боку держави, а не як окремі атаки. На їхню думку, Lazarus діє з рівнем координації та масштабом, характерними для державних структур.
Експерти також зазначають, що багато жертв можуть не підозрювати про злам до моменту завдання шкоди, оскільки шкідливе ПЗ часто видаляється після отримання доступу.
Нагадаємо, ми писали, що хакери відмили $80 млн після зламу KelpDAO.
Сообщение Lazarus Group запустила хвилю хакерських атак через фейкові дзвінки для злому macOS появились сначала на INCRYPTED.
