По информации специалиста по кибербезопасности Мауро Элдрича, группа хакеров Lazarus Group начала использовать новую схему проникновения в системы компаний через обычные рабочие звонки.
По его словам, северокорейские хакеры развернули кампанию с применением модульного macOS-набора инструментов Mach-O Man. Этот арсенал разработала другая группировка из Северной Кореи — Famous Chollima.
Инструменты представляют собой нативные бинарные файлы формата Mach-O, созданные специально для экосистемы Apple, которую активно используют многие криптовалютные и финтех-компании.
Mach-O Man распространяется с помощью метода ClickFix — схемы социальной инженерии, при которой пользователя убеждают вставить команду в терминал якобы для устранения проблем с подключением.
Как отметил Элдрич, злоумышленники рассылают через Telegram срочные приглашения на встречу в Zoom, Microsoft Teams или Google Meet. Ссылка ведет на фишинговый ресурс, где пользователя просят скопировать и выполнить простую команду в терминале Apple Mac. После этого атакующие получают прямой доступ к корпоративной инфраструктуре, SaaS-сервисам и финансовым системам компании.
Во многих случаях факт взлома обнаруживается слишком поздно, когда минимизировать ущерб уже невозможно.