L'apparition de Mach-O Man, un nouveau kit de logiciels malveillants natif pour macOS Attribuée au groupe nord-coréen Lazarus, l'attaque a suscité l'inquiétude dans l'écosystème mondial des cryptomonnaies et de la fintech. La menace ne se limite pas aux grandes plateformes d'échange : elle touche également les entreprises européennes et espagnoles qui utilisent des ordinateurs Mac pour leurs fonctions de direction, de trésorerie et de développement.
Cette campagne transforme appel vidéo professionnel à un point d'entrée potentiel à l'infrastructure de l'entreprise. Au lieu de se fier uniquement aux vulnérabilités techniques, Mach-O Man combine une ingénierie sociale sophistiquée avec des modules spécialisés dans le vol d'identifiants, l'accès au trousseau macOS et aux portefeuilles numériques, ce qui multiplie les risques pour les organisations qui gèrent d'importants volumes de capitaux numériques.
Le groupe Lazarus et ses objectifs dans les cryptomonnaies, la DeFi et la fintech
Derrière Mach-O Man se cache le Le groupe Lazarus, également connu sous le nom de Famous Chollima, l'une des unités de cyberopérations les plus actives liées à la Corée du Nord. Divers rapports de sécurité estiment que ce groupe compte environ 6.700 milliards de dollars de vols de cryptomonnaies depuis 2017, avec des succès notables contre des plateformes telles que KelpDAO, Drift, Bybit ou Zerion.
Des chercheurs d'équipes comme CertiK et l'équipe Bitso QuetzalAvec d'autres sociétés de renseignement sur les menaces et des laboratoires d'analyse comme ANY.RUN, ils intègrent Mach-O Man dans une stratégie financière soutenue par l'État nord-coréen. Il ne s'agit pas d'une campagne isolée, mais d'un élément d'un mécanisme plus vaste visant à détourner des capitaux des secteurs des cryptomonnaies, de la finance décentralisée (DeFi) et des technologies financières (Fintech).
Selon le chercheur principal de CertiK, Natalie NewsonLe secteur des cryptomonnaies devrait commencer à traiter Lazarus de la même manière que le secteur bancaire traditionnel traite les acteurs cybernétiques soutenus par des États : comme un menace constante, bien financée et persistanteEn quelques semaines seulement, les auteurs de ces attaques nord-coréennes auraient détourné plus de 500 millions de dollars grâce à des exploits liés à des protocoles tels que Drift et KelpDAO, renforçant ainsi l'idée d'une offensive coordonnée.
Le groupe se concentre actuellement sur profils ayant un accès hautement sensible Au sein d'entreprises à forte valeur ajoutée : dirigeants de la fintech, développeurs Web3, chefs de produit et équipes de trésorerie des plateformes d'échange de cryptomonnaies et des fournisseurs de services réglementés. Nombre de ces professionnels, notamment en Europe et en Espagne, utilisent macOS au quotidien, ce qui correspond parfaitement à la conception spécifique de Mach-O Man.
Pour les entreprises basées à des centres comme Madrid, Barcelone, Valence, Malaga, Berlin ou AmsterdamDans ce secteur, où se concentrent les néobanques, les dépositaires institutionnels et les startups crypto, le message est clair : si vous gérez des flux de liquidités numériques, des intégrations DeFi ou des infrastructures SaaS critiques depuis des Macs, vous entrez directement dans le profil de risque ciblé par cette campagne.
Qu'est-ce que Mach-O Man et comment est-il construit ?
Mach-O Man est décrit comme un Kit de logiciels malveillants modulaires pour macOS, écrit en Go Il est compilé en binaire Mach-O, le format exécutable natif du système d'exploitation d'Apple. Optimisé pour fonctionner sur les machines Intel et Apple Silicon, il couvre ainsi la quasi-totalité de l'écosystème Mac actuel.
Le choix du format Go et Mach-O facilite les choses pour les différents Les composants du kit s'intègrent parfaitement à l'environnement Apple.Cela permet d'éviter certains obstacles habituels qui entravent l'exécution de fichiers moins optimisés. Cette approche est particulièrement efficace dans les entreprises du secteur des cryptomonnaies et de la fintech, où il est courant que les gestionnaires, les juristes, les chefs de produit et le personnel technique travaillent sous macOS.
Le kit fonctionne sur quatre grandes phases liéesChaque étape est dédiée à un objectif précis : téléchargement et déploiement initiaux des fichiers binaires, collecte d’informations système, établissement d’une persistance et, enfin, vol massif de données. Son architecture modulaire permet à différents groupes malveillants d’adapter la campagne en fonction du type de victime et du profit escompté.
L'un des points les plus délicats est sa capacité à interagir avec le trousseau macOSLe système stocke les mots de passe, les clés privées, les phrases de récupération et autres informations sensibles. De plus, les modules Mach-O Man analysent les extensions et les données de navigateurs tels que Chrome, Safari, Firefox, Brave, Opera et Vivaldi, facilitant ainsi le vol des cookies de session, des jetons d'accès et des identifiants enregistrés.
Les chercheurs ont même détecté erreurs de programmation dans certains composantsCela inclut un bug dans un programme de profilage binaire qui génère une boucle infinie et une utilisation anormale du processeur. Cette faille, outre le fait qu'elle peut indiquer une infection en cours, suggère que le kit a été déployé de manière précipitée afin d'exploiter des fenêtres d'attaque spécifiques avant que les défenses ne puissent s'adapter.
ClickFix : Le piège des appels vidéo qui compromet votre Mac
Ce qui rend Mach-O Man particulièrement troublant, ce n'est pas seulement son code, mais… Comment fait-il pour intégrer les équipes ?Au lieu d'exploiter une vulnérabilité logicielle classique, la campagne s'appuie sur une technique d'ingénierie sociale connue sous le nom de ClickFix, conçues de telle sorte que la victime exécute elle-même la commande malveillante, convaincue de suivre une procédure d'assistance de routine.
L'attaque commence généralement par une invitation urgente à une réunion Envoyé via Telegram, le message promet un appel vidéo sur Zoom, Microsoft Teams ou Google Meet, et dans de nombreux cas, il semble parfaitement normal car il provient de comptes compromis appartenant à des collègues, des partenaires commerciaux, des investisseurs ou du personnel technique avec lesquels la victime a déjà une relation préalable dans l'environnement crypto.
En ouvrant le lien, la personne est redirigée vers un faux site web, mais très convaincantqui imite l'esthétique de la plateforme d'appel vidéo ou affiche une prétendue publicité pour des services connus, tels que Cloudflare. Sur cette page, une erreur de connexion ou de compatibilité apparaît, et une solution de fortune est proposée : Copiez et collez une commande simple dans le Terminal macOS. Résoudre le problème.
Cette commande, qui est présentée comme une simple étape de vérification ou ajustement techniqueIl télécharge et exécute le programme d'installation initial du logiciel malveillant, généralement un fichier binaire comme teamsSDK.bin, via curl. Comme l'utilisateur saisit la commande dans le Terminal, les mécanismes de sécurité tels que Gatekeeper ont tendance à considérer cette action comme autorisée, et de nombreuses défenses automatiques ne sont donc pas activées.
Dans des incidents documentés, les chercheurs ont observé que les attaquants étaient même allés jusqu'à détournement de domaines de projets DeFi Ils remplacent leurs sites web par de faux messages Cloudflare. Ces pages vous invitent à saisir une commande de vérification dans le Terminal, selon le même procédé : dissimuler une faille de sécurité critique sous une simple étape technique, en exploitant la confiance instaurée par des interfaces familières.
Les quatre phases de l'attaque : de l'infection au vol d'identifiants
Une fois que la victime est tombée dans le piège de ClickFix et a exécuté la commande, Mach-O Man déploie un flux d'attaque organisé en quatre étapes, décrits en détail par l'équipe de Bitso sur le Quetzal et corroborés par d'autres chercheurs spécialisés.
Dans la première phase, le programme initial télécharge et exécute binaires supplémentaires écrits en GoL'application est signée avec un certificat personnalisé conçu pour paraître légitime. À ce stade, un faux package d'application s'affiche et demande le mot de passe macOS. Les analystes ont observé que la fenêtre de connexion « tremble » lors des deux premières tentatives, puis accepte le mot de passe à la troisième : une astuce d'interface destinée à renforcer l'illusion de normalité.
La deuxième étape se concentre sur profilage complet du systèmeUn fichier binaire dédié répertorie le nom d'hôte, l'UUID, le type de processeur, la version de macOS, les processus actifs, la configuration réseau et les extensions installées dans les navigateurs tels que Brave, Chrome, Firefox, Safari, Opera et Vivaldi. Grâce à cet inventaire, les attaquants évaluent l'importance de la cible et déterminent les efforts nécessaires pour chaque machine compromise.
Dans la troisième phase, Mach-O Man établit un mécanisme de persistance Pour rester actif même après le redémarrage de l'ordinateur, le logiciel malveillant place un fichier renommé « OneDrive » dans un emplacement caché, au sein d'un dossier nommé par exemple « Service antivirus », et enregistre un agent de lancement sous des identifiants tels que com.onedrive.launcher.plist. Ainsi, le composant malveillant s'exécute automatiquement à chaque connexion de l'utilisateur.
Enfin, la quatrième étape active un voleur spécialisé dans le vol de donnéesIdentifié dans certaines analyses comme macrasv2, ce module collecte des informations provenant d'extensions de navigateur, de bases de données SQLite contenant des identifiants, de cookies de session, de configurations de portefeuille et d'entrées du trousseau d'accès macOS. L'ensemble de ces données est compressé dans un fichier et envoyé via l'API du bot Telegram, sans nécessiter d'infrastructure de commande et de contrôle particulièrement sophistiquée.
Le lien avec le vol de cryptomonnaies et autres actifs numériques C'est simple : le trousseau macOS peut contenir des clés privées, des phrases de récupération, des mots de passe de plateformes d'échange et des identifiants d'accès aux trésoreries d'entreprise. Combinées aux cookies de session actifs et aux jetons d'accès, ces clés permettent aux attaquants de manipuler les fonds d'autrui sans éveiller immédiatement les soupçons ni avoir à se soumettre à des procédures d'authentification supplémentaires.
Telegram comme canal d'exfiltration et d'autodestruction de logiciels malveillants
L'une des caractéristiques les plus frappantes de Mach-O Man est le Utilisation intensive de Telegram comme canal de commande et d'exfiltrationAu lieu d'utiliser des serveurs dédiés difficiles à dissimuler, le voleur envoie les données volées en envoyant des requêtes à l'API du bot Telegram, tirant parti d'un service largement utilisé à la fois personnellement et professionnellement.
Les chercheurs ont même découvert Jetons de bot Telegram intégrés directement dans les fichiers binairesIl s'agit d'une faille opérationnelle importante qui, en théorie du moins, pourrait permettre aux équipes de défense de surveiller ou d'interférer avec certains canaux de communication malveillants. Malgré cela, tant que ces bots restent actifs, le flux de données vers les opérateurs de Lazarus et les autres groupes utilisant le kit demeure relativement discret.
Un autre élément qui complique la réponse est le capacité d'autodestruction du logiciel malveillantUne fois leurs tâches principales terminées, de nombreux composants de Mach-O Man exécutent des commandes d'effacement à l'aide de commandes telles que : rmCela élimine une part importante des traces locales de l'infection. Au moment où l'entreprise touchée détecte une activité inhabituelle sur les comptes ou des retraits, le logiciel malveillant a peut-être déjà été supprimé du système.
Cette approche « rapide et facile » complique considérablement la analyse médico-légale ultérieureEn l'absence de traces claires dans le système, les équipes de cybersécurité doivent s'appuyer sur les journaux réseau, les indices résiduels et les corrélations d'événements pour reconstituer le déroulement des faits. Dans les environnements européens où des parcs de Mac sont gérés par des néobanques, des prestataires de services de paiement ou des gestionnaires d'actifs tokenisés, ce manque de preuves directes rend difficile l'évaluation de l'étendue réelle de l'accès obtenu par les attaquants.
Des experts comme Natalie Newson mettent en garde contre De nombreuses victimes ne sont peut-être pas encore au courant. qu'ils ont été attaqués. Et, même s'ils le soupçonnent, il est peu probable qu'ils puissent identifier avec précision quelle variante de Mach-O Man a été déployée ni quelle quantité de données a été compromise, ce qui ajoute à l'incertitude des efforts de confinement, de communication interne et de notification aux autorités réglementaires.
Lien avec les vols majeurs et contexte pour l'Europe et l'Espagne
Mach-O Man s'intègre dans un chaîne prolongée d'attaques contre l'écosystème crypto et fintech Attribué au groupe Lazarus. Au-delà des vols massifs perpétrés sur les protocoles et plateformes d'échange DeFi — certains dépassant facilement le milliard de dollars en une seule opération —, ce kit propose une approche centrée sur les personnes qui gèrent l'accès aux clés.
Incidents liés à des projets tels que KelpDAO, Drift, Bybit ou Zerion Ces exemples démontrent la capacité du groupe à allier renseignement sur les infrastructures et opérations extrêmement rapides et précises. À une échelle apparemment plus modeste, les attaques d'ingénierie sociale utilisant l'IA et ayant permis des vols de plusieurs centaines de milliers de dollars, comme dans l'affaire Zerion, prouvent que Lazarus maîtrise aussi bien les braquages spectaculaires que les campagnes discrètes mais continues.
Pour L'environnement européen, où les entreprises de cryptomonnaies réglementées se sont multipliéesPour les dépositaires institutionnels et les startups fintech, le risque est directement transféré aux équipes de direction, de conformité, de trésorerie et de développement commercial. En Espagne, les projets implantés dans des pôles technologiques comme Madrid, Barcelone, Valence ou Malaga, qui gèrent les intégrations DeFi et d'importants volumes d'actifs cryptographiques, correspondent parfaitement aux objectifs de ce type d'opérations.
Les analyses s'accordent à dire que toute organisation avec macOS déployé dans des positions à privilèges élevés Les acteurs fortement exposés aux actifs numériques devraient prendre en compte Mach-O Man dans leurs analyses de risques. Cela concerne non seulement les plateformes d'échange et les protocoles Web3 natifs, mais aussi les banques traditionnelles disposant de services bancaires numériques, les gestionnaires de fonds expérimentant la tokenisation et les sociétés de paiement ayant intégré les cryptomonnaies à leur offre.
Ce contexte nous oblige à repenser une approche de sécurité centrée exclusivement sur le périmètre technique. La limite critique ne se situe plus seulement dans le code d'un contrat intelligent ou sur le serveur d'un fournisseur, mais dans le Routine quotidienne d'un cadre qui accepte un appel vidéo urgent depuis son MacDans un environnement où le temps est compté et où les agendas sont remplis de réunions à distance, ce vecteur peut être aussi efficace que n'importe quelle vulnérabilité logicielle classique.
Pourquoi est-ce si difficile à détecter : le facteur humain comme point faible
L'une des raisons du succès de Mach-O Man est que Elle ne repose pas sur une défaillance technique « pure ».Il s'agit plutôt d'une faiblesse humaine bien spécifique. L'attaque repose sur le fait que la victime copie et colle une commande dans le Terminal de son Mac, croyant résoudre un problème de connexion, effectuer une vérification de sécurité ou résoudre un problème mineur lors d'un appel vidéo.
Les contrôles de sécurité traditionnels Ils sont mieux équipés pour détecter les pièces jointes suspectes, les exécutables non autorisés ou les exploits automatisés que pour bloquer une commande légitime, écrite en clair et émise par l'utilisateur. Si la commande arrive dans un contexte plausible — une réunion de dernière minute avec un partenaire clé, une prétendue notification de Cloudflare, ou un message qui semble provenir d'un véritable fournisseur—, la probabilité que cela soit exécuté sans trop de doutes augmente considérablement.
La campagne exploite une réalité répandue dans les entreprises technologiques et financières : Emplois du temps surchargés, appels vidéo incessants et décisions prises sous pressionDans ce contexte, une réunion impromptue ou une « petite avancée technique » ne suscitent généralement pas de soupçons, surtout si elle provient de canaux comme Telegram où une grande partie de la communauté crypto est active quotidiennement pour coordonner des projets, des investissements ou du soutien.
À tout cela s'ajoute la nature kit modulaire et évolutifDes analystes de menaces comme Vladimir S. ont souligné l'existence de plusieurs variantes de cette attaque, ce qui signifie que les composantes techniques peuvent évoluer rapidement même si le mode opératoire reste inchangé. Si les défenses se concentrent uniquement sur des indicateurs statiques, les attaquants conservent la possibilité de modifier les fichiers binaires, de changer l'infrastructure réseau et de continuer à exploiter la même technique.
Enfin, la capacité de Mach-O Man à s'effacer après avoir accompli sa mission Cela réduit la quantité de preuves disponibles lorsqu'un détournement de fonds ou une activité anormale est constaté sur les comptes de l'entreprise. Les traces laissées sur l'appareil compromis peuvent être minimes, ce qui complique considérablement l'attribution rapide de l'incident à ce logiciel malveillant et la détermination de l'étendue réelle de la compromission.
Étapes pratiques pour les entreprises crypto et fintech utilisant macOS
Les équipes de cybersécurité qui ont analysé Mach-O Man ont publié une série de recommandations spécifiques pour les organisations européennes et espagnoles qui utilisent des Macs dans des postes leur donnant accès à des fonds, à des comités d'administration et à des systèmes internes critiques.
Sur le plan technique, il est conseillé de procéder à audits périodiques des annuaires LaunchAgents Il convient de rechercher les entrées suspectes, en portant une attention particulière aux références telles que com.onedrive.launcher.plist ou aux processus nommés OneDrive s'exécutant depuis des chemins inhabituels, par exemple des dossiers cachés nommés « Service antivirus ». Ces vérifications peuvent être automatisées par des scripts et centralisées sur des plateformes de gestion de parc informatique ; il est donc crucial de les appliquer. Mises à jour macOS fermer les vecteurs connus.
También resulta clave Surveillez ou limitez le trafic sortant vers l'API Telegram Bot. Cela concerne les équipes en entreprise, notamment dans les environnements où l'utilisation de bots Telegram n'est ni légitime ni documentée. S'il n'est pas toujours possible de bloquer complètement le service, des politiques plus nuancées peuvent être mises en place afin de limiter son utilisation comme canal d'exfiltration de données.
En matière de sensibilisation, les experts insistent sur un message simple : Ne copiez pas les commandes du Terminal depuis des pages web.Les captures d'écran ou les liens de réunion non vérifiés par l'organisation sont à proscrire. Cette recommandation semble évidente, mais en pratique, elle exige une formation continue, des exemples concrets et des simulations, notamment pour les équipes constamment en déplacement qui gèrent un volume important d'appels vidéo et de communications externes.
Une autre bonne pratique est vérifier par un autre canal Toute invitation urgente impliquant des manipulations techniques inhabituelles doit être considérée avec suspicion. Si un prétendu collègue vous demande d'exécuter une commande dans le Terminal, il est conseillé de confirmer cette instruction par courriel professionnel, messagerie interne officielle ou par téléphone avant d'entreprendre quoi que ce soit. Cette double vérification, bien qu'un peu contraignante, réduit considérablement les risques d'être victime d'escroqueries comme ClickFix.
Enfin, les organisations présentes en Espagne et dans le reste de l'Union européenne devraient intégrer les indicateurs d'engagement connus de Mach-O Man Leurs outils de détection et de réponse comprennent : les hachages SHA-256 des principaux composants publiés par les chercheurs, les adresses IP associées à la campagne (telles que celles observées lors des analyses initiales), les schémas de commandes suspects dans le terminal et les alertes concernant les pics anormaux d’utilisation du processeur par des processus inconnus. Même si le logiciel malveillant tente de s’autodétruire, ces traces peuvent aider à identifier les infections en cours ou les tentatives d’intrusion infructueuses.
L'offensive Mach-O Man attribuée au groupe Lazarus montre à quel point la combinaison de Logiciels malveillants modulaires, ingénierie sociale et canaux d'exfiltration clandestins Un simple appel vidéo, en apparence anodin, peut déclencher une faille de sécurité critique. Dans un écosystème crypto et fintech européen de plus en plus réglementé, où l'exposition aux capitaux numériques ne cesse de croître, notamment pour les entreprises espagnoles qui utilisent macOS dans leurs processus décisionnels, il devient essentiel de renforcer la culture de la sécurité, de se méfier des commandes improvisées et de considérer tout lien de réunion suspect comme un vecteur d'attaque potentiel afin de protéger les identifiants, les systèmes et les portefeuilles numériques.
