Kampanye Malware Baru oleh Grup Lazarus
Grup Lazarus yang didukung oleh Korea Utara telah meluncurkan kampanye malware macOS baru yang menargetkan eksekutif di sektor fintech dan cryptocurrency. Malware ini, yang dikenal sebagai “Mach-O Man”, menggunakan undangan rapat palsu dan teknik rekayasa sosial untuk membajak informasi sensitif dan dana dari para eksekutif tersebut. Menurut perusahaan keamanan blockchain CertiK, operasi ini menggabungkan payload tingkat terminal dengan metode rekayasa sosial untuk mencuri cryptocurrency dan data perusahaan tanpa meninggalkan jejak di disk.
Teknik Penipuan yang Digunakan
Peneliti dari CertiK menjelaskan bahwa kampanye ini memanfaatkan teknik yang disebut ClickFix, di mana korban dijebak untuk menempelkan perintah yang tampak seperti “perbaikan” atau “verifikasi” ke dalam Terminal macOS selama sesi dukungan atau rapat palsu. Dalam kasus ini, umpan berupa undangan rapat online palsu yang dirancang untuk menjebak korban agar menempelkan perintah berbahaya ke dalam terminal Mac mereka. Toolkit yang digunakan dalam serangan ini secara otomatis menghapus diri setelah digunakan, sehingga menyulitkan proses forensik.
Hubungan dengan Unit Chollima
Menurut SOC Prime, sebuah perusahaan intelijen ancaman, kerangka “Mach-O Man” terkait dengan unit Chollima yang terkenal dari Lazarus dan didistribusikan melalui akun Telegram yang telah dikompromikan serta undangan rapat palsu yang menargetkan organisasi crypto dan keuangan bernilai tinggi. Toolkit ini mencakup beberapa biner Mach-O yang dirancang untuk memprofil host, membangun ketahanan, dan mengekstrak kredensial serta data browser melalui perintah dan kontrol berbasis Telegram.
Kampanye Serupa oleh Mandiant
Mandiant, bagian dari Google Cloud, sebelumnya menggambarkan kampanye macOS serupa yang menggabungkan ClickFix dengan video deepfake yang dibantu AI, panggilan Zoom palsu, dan akun pesan yang dibajak untuk mendorong target menjalankan perintah yang disamarkan. Peneliti Mandiant mencatat,
“Kampanye ini menggunakan akun Telegram yang dikompromikan, rapat Zoom palsu, dan penipuan yang dibantu AI untuk menipu korban agar menjalankan perintah terminal yang mengarah pada rantai infeksi macOS.”
Kerugian yang Diderita oleh Platform DeFi
Natalie Newson, peneliti dari CertiK, mengaitkan gelombang terbaru dari “Mach-O Man” dengan upaya lebih luas dari Lazarus yang telah berhasil mencuri lebih dari $500 juta dari platform DeFi Drift dan KelpDAO dalam waktu kurang dari dua minggu. Dalam insiden tersebut, Lazarus diduga menggunakan rekayasa sosial terhadap sebuah perusahaan perdagangan dan eksploitasi lintas rantai yang canggih, yang memungkinkan penyerang untuk mencetak sekitar 116.500 rsETH dan menguras sekitar $292 juta.
Ancaman Sistemik bagi Ekosistem Cryptocurrency
LayerZero, penyedia infrastruktur jembatan yang digunakan oleh KelpDAO, menyatakan bahwa Grup Lazarus Korea Utara adalah “aktor yang mungkin” di balik eksploitasi rsETH dan menyalahkan desain verifier titik kegagalan tunggal yang memungkinkan pesan lintas rantai yang dipalsukan. Menurut laporan dari SecurityWeek, Lazarus telah menargetkan ekosistem cryptocurrency selama bertahun-tahun, mencuri sekitar $2 miliar dalam aset virtual pada tahun 2023 dan 2024. Dengan DeFi mengalami apa yang disebut sebagai bulan terburuk dalam catatan untuk peretasan, pasar kini secara efektif memperhitungkan eksploitasi lebih dari $100 juta tahun ini, menyoroti bagaimana penyerang yang terkait dengan negara seperti Lazarus telah menjadi ancaman sistemik bagi risiko crypto.
