Default
Door Remote - 22 Apr 2026
Beveiligingsonderzoekers hebben een nieuwe macOS-malwarecampagne gekoppeld aan de Lazarus Group, de aan Noord-Korea gelinkte hackoperatie achter enkele van de grootste diefstallen in de crypto-industrie.
De nieuwe ‘Mach-O Man’-malwarekit, die dinsdag werd gemarkeerd, wordt via ‘ClickFix’-social engineering-programma’s verspreid onder traditionele bedrijven en cryptobedrijven, aldus Mauro Eldritch, offensieve beveiligingsexpert en oprichter van BCA Ltd.
Slachtoffers worden naar een nep Zoom- of Google Meet-oproep gelokt, waar ze worden gevraagd opdrachten uit te voeren die de malware op de achtergrond downloaden, waardoor aanvallers traditionele controles zonder detectie kunnen omzeilen om toegang te krijgen tot inloggegevens en bedrijfssystemen, aldus de beveiligingsonderzoeker in een rapport van dinsdag.
Onderzoekers zeggen dat de campagne kan leiden tot accountovernames, ongeoorloofde toegang tot de infrastructuur, financiële verliezen en de blootstelling van kritieke gegevens, wat onderstreept hoe Lazarus zijn targeting blijft uitbreiden buiten crypto-native bedrijven.
De Lazarus Group is de hoofdverdachte van enkele van de grootste cryptocurrency-hacks ooit, waaronder de $1,4 miljard-hack van Bybit Exchange in 2025, de grootste in de sector tot nu toe.
Valse Mach-O Man Kit-apps. Bron: ANY.RUN De “Mach-o Man”-kit probeert verborgen stealer-malware te implementeren. De laatste fase van de campagne is een stealer die is ontworpen om browserextensiegegevens, opgeslagen browsergegevens, cookies, macOS-sleutelhangervermeldingen en andere gevoelige informatie van geïnfecteerde apparaten te extraheren.
Final staging director voor Stealer-malware. Bron: Any.runNa verzameling worden de gegevens gearchiveerd in een zip-bestand en via Telegram naar de aanvallers geëxfiltreerd. Ten slotte verwijdert het zelfverwijderingsscript van de malware de volledige kit met behulp van de rm-opdracht van het systeem, waardoor gebruikersbevestigingen en machtigingen worden omzeild bij het verwijderen van bestanden.
De nieuwe malwarekit werd door de beveiligingsexpert gereconstrueerd via de cloudgebaseerde malware-sandbox Any.run’s macOS-analysemogelijkheden.
Gerelateerd: CZ slaat alarm als het ‘SEAL’-team 60 nep-IT-medewerkers ontdekt die banden hebben met Noord-Korea
Eerder in april gebruikten Noord-Koreaanse hackers AI-gebaseerde social engineering-programma’s om voor ongeveer $100.000 aan geld te stelen uit crypto-portemonnee Zerion, nadat ze toegang hadden gekregen tot de ingelogde sessies, inloggegevens en de privésleutels van sommige teamleden, zo meldde Cointelegraph op 15 april.
Magazine: 53 DeFi-projecten geïnfiltreerd, 50 miljoen NEO-tokens kunnen ‘teruggegeven’ worden: Asia Express
De nieuwe ‘Mach-O Man’-malwarekit, die dinsdag werd gemarkeerd, wordt via ‘ClickFix’-social engineering-programma’s verspreid onder traditionele bedrijven en cryptobedrijven, aldus Mauro Eldritch, offensieve beveiligingsexpert en oprichter van BCA Ltd.
Slachtoffers worden naar een nep Zoom- of Google Meet-oproep gelokt, waar ze worden gevraagd opdrachten uit te voeren die de malware op de achtergrond downloaden, waardoor aanvallers traditionele controles zonder detectie kunnen omzeilen om toegang te krijgen tot inloggegevens en bedrijfssystemen, aldus de beveiligingsonderzoeker in een rapport van dinsdag.
Onderzoekers zeggen dat de campagne kan leiden tot accountovernames, ongeoorloofde toegang tot de infrastructuur, financiële verliezen en de blootstelling van kritieke gegevens, wat onderstreept hoe Lazarus zijn targeting blijft uitbreiden buiten crypto-native bedrijven.
De Lazarus Group is de hoofdverdachte van enkele van de grootste cryptocurrency-hacks ooit, waaronder de $1,4 miljard-hack van Bybit Exchange in 2025, de grootste in de sector tot nu toe.
Valse Mach-O Man Kit-apps. Bron: ANY.RUN De “Mach-o Man”-kit probeert verborgen stealer-malware te implementeren. De laatste fase van de campagne is een stealer die is ontworpen om browserextensiegegevens, opgeslagen browsergegevens, cookies, macOS-sleutelhangervermeldingen en andere gevoelige informatie van geïnfecteerde apparaten te extraheren.
Final staging director voor Stealer-malware. Bron: Any.runNa verzameling worden de gegevens gearchiveerd in een zip-bestand en via Telegram naar de aanvallers geëxfiltreerd. Ten slotte verwijdert het zelfverwijderingsscript van de malware de volledige kit met behulp van de rm-opdracht van het systeem, waardoor gebruikersbevestigingen en machtigingen worden omzeild bij het verwijderen van bestanden.
De nieuwe malwarekit werd door de beveiligingsexpert gereconstrueerd via de cloudgebaseerde malware-sandbox Any.run’s macOS-analysemogelijkheden.
Gerelateerd: CZ slaat alarm als het ‘SEAL’-team 60 nep-IT-medewerkers ontdekt die banden hebben met Noord-Korea
Eerder in april gebruikten Noord-Koreaanse hackers AI-gebaseerde social engineering-programma’s om voor ongeveer $100.000 aan geld te stelen uit crypto-portemonnee Zerion, nadat ze toegang hadden gekregen tot de ingelogde sessies, inloggegevens en de privésleutels van sommige teamleden, zo meldde Cointelegraph op 15 april.
Magazine: 53 DeFi-projecten geïnfiltreerd, 50 miljoen NEO-tokens kunnen ‘teruggegeven’ worden: Asia Express