Community Trust ScoreVérifié
Le groupe Lazarus vient de lancer une nouvelle campagne de logiciels malveillants. Ils s’en prennent maintenant aux utilisateurs de Mac.
Le groupe de hackers nord-coréen a créé quelque chose appelé Mach-O Man, qui est essentiellement une boîte à outils conçue pour pénétrer les systèmes macOS. Le logiciel malveillant se propage via des invitations à des réunions qui semblent réelles mais ne le sont pas. Lorsqu’une personne ouvre l’une de ces fausses invitations, le logiciel malveillant commence à extraire les identifiants directement de son ordinateur. L’accès aux portefeuilles crypto est le gros lot ici. Le groupe cible les personnes travaillant dans la cryptomonnaie et la technologie financière, notamment les dirigeants et les développeurs qui peuvent accéder à des actifs numériques précieux et à des données financières sensibles. C’est un jeu assez simple : obtenir les identifiants, vider les portefeuilles.
Comment fonctionne le logiciel malveillant
Mach-O Man est modulaire. Cela signifie qu’il peut être personnalisé pour différentes attaques et cibles. La méthode de livraison repose sur l’ingénierie sociale, ce qui n’est pas nouveau pour Lazarus mais reste efficace. Quelqu’un reçoit ce qui ressemble à une demande de réunion légitime dans sa boîte de réception. Peut-être d’un collègue, peut-être d’un partenaire commercial potentiel. Ils l’ouvrent. Le logiciel malveillant s’active.
Une fois en cours d’exécution, Mach-O Man s’attaque aux données du trousseau. Pour ceux qui ne le savent pas, macOS stocke les mots de passe et les identifiants dans quelque chose appelé un trousseau. C’est censé être sécurisé. Mais si un logiciel malveillant obtient un accès root ou trompe un utilisateur pour qu’il accorde des autorisations, cette sécurité ne compte plus beaucoup. Le logiciel malveillant extrait tout : identifiants de connexion, clés de portefeuilles, jetons d’authentification. Tout ce dont quelqu’un a besoin pour accéder aux comptes et déplacer de l’argent.
Le choix de cibler macOS est intéressant. Beaucoup de gens pensent que les Macs sont plus sûrs que les machines Windows. Ils n’ont pas tout à fait tort : il y a moins de logiciels malveillants conçus pour macOS par rapport à Windows. Mais cette perception crée de la complaisance. Les utilisateurs baissent leur garde. Ils ne mettent pas à jour les logiciels aussi rapidement. Ils font confiance aux invitations de réunions sans vérifier deux fois. Lazarus le sait et l’exploite.
Qui est touché
Les principales cibles sont les personnes dans la crypto et la fintech. Les développeurs qui construisent des applications blockchain. Les dirigeants qui gèrent des fonds d’actifs numériques. Quiconque a accès à des portefeuilles contenant des montants significatifs de cryptomonnaie. Ces personnes utilisent souvent des Macs pour travailler. Elles communiquent constamment par des canaux numériques. Une fausse invitation à une réunion ne semble pas suspecte dans cet environnement.
Et les invitations sont convaincantes. Lazarus a déjà fait cela avec d’autres campagnes. Ils recherchent leurs cibles. Ils savent quel genre de réunions ces personnes ont. Ils imitent le langage, le formatage, même le timing. Quelqu’un reçoit une invitation qui semble provenir d’un contact connu ou d’une organisation crédible. Ils cliquent. Jeu terminé.
En relation : La Corée du Nord s’empare de 500 millions de dollars en crypto en trois semaines
Le secteur de la technologie financière a connu une croissance régulière ces dernières années, ce qui en fait une cible plus juteuse. Plus d’entreprises, plus d’employés, plus d’actifs numériques en circulation. Lazarus cible les institutions financières depuis des années, mais le passage à la finance décentralisée et à la crypto crée de nouvelles opportunités. Les portefeuilles peuvent être vidés sans passer par la sécurité bancaire traditionnelle. Les transactions ne peuvent pas être annulées. Une fois les fonds déplacés, ils sont partis.
Les équipes de sécurité s’efforcent de réagir. Les conseils pour le moment sont assez basiques mais cruciaux : ne pas ouvrir de demandes de réunion provenant d’expéditeurs inconnus. Tout vérifier. Garder macOS à jour. Utiliser l’authentification à plusieurs facteurs autant que possible. Mais même avec ces précautions, une ingénierie sociale sophistiquée peut passer à travers.
Les chercheurs en cybersécurité décortiquent actuellement le code du logiciel malveillant. Ils veulent comprendre exactement comment il fonctionne, quelles vulnérabilités il exploite, comment il communique avec les serveurs de commande. L’objectif est de construire des défenses capables de détecter et de bloquer Mach-O Man avant qu’il n’extraie quoi que ce soit de précieux. Mais Lazarus est insaisissable. Ils mènent des opérations depuis des années et savent comment couvrir leurs traces.
Le palmarès du groupe est long et coûteux. Ils ont été liés à des vols majeurs visant des échanges et des plateformes financières. Les méthodes évoluent, mais l’objectif reste le même : voler de l’argent, éviter l’attribution, passer à la cible suivante. Les groupes de hackers parrainés par l’État ont des ressources que la plupart des organisations criminelles n’ont pas. Ils peuvent investir du temps dans la recherche, dans le développement d’outils sur mesure, dans la reconnaissance patiente.
Ce qui rend cette campagne particulièrement dangereuse, c’est la combinaison de la sophistication technique et de la manipulation psychologique. Le logiciel malveillant lui-même est bien construit et modulaire. Mais il n’irait nulle part sans le composant d’ingénierie sociale. Les gens sont encore le maillon le plus faible dans la plupart des configurations de sécurité. Un système parfaitement sécurisé ne sert à rien si un utilisateur ouvre volontairement la porte.
Plus de contexte : La Corée du Nord s’empare de 500 millions de dollars en deux semaines grâce à des exploits DeFi
Les efforts pour tracer l’infrastructure de Mach-O Man sont en cours mais difficiles. Lazarus utilise des serveurs proxy, des systèmes compromis et d’autres techniques d’obfuscation pour cacher leurs véritables emplacements et structures de commande. Même lorsque les chercheurs identifient un serveur, ce n’est souvent qu’une autre couche dans un réseau complexe conçu pour frustrer le suivi.
Pour l’instant, la meilleure défense est la sensibilisation. Les entreprises dans le domaine de la crypto et de la fintech doivent éduquer leurs équipes sur ces menaces. Des formations régulières sur le phishing et les tactiques d’ingénierie sociale peuvent aider. Tout comme des protocoles plus stricts concernant l’ouverture de pièces jointes et le suivi des liens. La menace ne disparaîtra pas. Lazarus continuera de s’adapter, de trouver de nouveaux angles. La sécurité doit suivre le rythme.
Questions Fréquentes
Qu’est-ce que le logiciel malveillant Mach-O Man ?
Mach-O Man est une boîte à outils de logiciels malveillants modulaire créée par le groupe Lazarus de Corée du Nord pour cibler les utilisateurs de macOS, en volant des identifiants et l’accès aux portefeuilles crypto via de fausses invitations à des réunions.
Qui sont les principales cibles de ce logiciel malveillant ?
Le logiciel malveillant cible principalement les dirigeants et les développeurs travaillant dans les secteurs de la cryptomonnaie et de la technologie financière qui ont accès à des actifs numériques précieux.
Comment le logiciel malveillant se propage-t-il ?
Mach-O Man se propage à travers des invitations à des réunions trompeuses qui semblent légitimes, incitant les utilisateurs à les ouvrir et à activer le logiciel malveillant sur leurs systèmes macOS.
