Lazarus wykorzystuje ClickFix do ataków na użytkowników macOS

Wprowadzenie do problemu / definicja

Grupa Lazarus, wiązana z Koreą Północną, prowadzi kampanię wymierzoną w użytkowników macOS z użyciem techniki ClickFix. To metoda socjotechniczna, w której ofiara zostaje nakłoniona do samodzielnego uruchomienia polecenia lub pliku pod pretekstem rozwiązania rzekomego problemu technicznego. W praktyce atakujący wykorzystują zaufanie do popularnych platform komunikacyjnych i spotkań online, aby ominąć naturalną ostrożność użytkownika.

W opisywanym scenariuszu celem są przede wszystkim osoby pracujące w środowiskach biznesowych, gdzie komputery Apple są szeroko wykorzystywane do komunikacji, finansów i zarządzania dostępem do usług chmurowych. To sprawia, że pojedyncza kompromitacja może przełożyć się na utratę poświadczeń, danych sesyjnych oraz informacji o wysokiej wartości operacyjnej.

W skrócie

• Ataki są kierowane głównie przeciwko użytkownikom macOS w sektorach FinTech, kryptowalut i kadrze kierowniczej.
• Początek kampanii stanowi kontakt przez komunikator, często z przejętego lub podszytego konta biznesowego.
• Ofiara otrzymuje zaproszenie do fałszywego spotkania w Zoom, Microsoft Teams lub Google Meet.
• Pod pozorem naprawy problemu technicznego użytkownik uruchamia złośliwy łańcuch infekcji.
• Końcowym celem jest kradzież poświadczeń, danych przeglądarkowych, wpisów z Keychain i innych sekretów biznesowych.

Kontekst / historia

ClickFix zyskał w ostatnim czasie dużą popularność jako technika uzyskiwania początkowego dostępu, ponieważ nie opiera się wyłącznie na klasycznym dostarczeniu złośliwego załącznika lub wykorzystaniu podatności. Zamiast tego operatorzy przekonują ofiarę, że wykonuje uzasadnioną czynność administracyjną lub diagnostyczną. Taki model znacząco zwiększa skuteczność kampanii, szczególnie tam, gdzie użytkownicy są przyzwyczajeni do szybkiego reagowania na problemy techniczne podczas spotkań online.

W przypadku Lazarusa taka metoda dobrze wpisuje się w znany model operacyjny grupy, nastawiony na kradzież środków finansowych, danych uwierzytelniających i informacji przydatnych w dalszych etapach operacji. Jednocześnie kampania pokazuje, że środowisko Apple nie jest już niszowym celem. MacBooki i inne urządzenia z macOS są dziś powszechne wśród startupów, zarządów, działów finansowych oraz firm związanych z aktywami cyfrowymi, co czyni je atrakcyjnym wektorem ataku.

Analiza techniczna

Łańcuch infekcji zaczyna się od wiadomości przesłanej przez komunikator, zwykle w kontekście biznesowym. Ofiara dostaje zaproszenie do rozmowy dotyczącej współpracy, inwestycji, rekrutacji lub innego wiarygodnego scenariusza. Po wejściu na stronę rzekomego spotkania widzi komunikat o problemie z połączeniem oraz instrukcję wykonania działań naprawczych.

Najważniejszy element tej techniki polega na tym, że to użytkownik sam inicjuje niebezpieczne działanie. Z perspektywy obrony oznacza to mniejszą skuteczność części tradycyjnych mechanizmów, które lepiej radzą sobie z automatycznie dostarczanym malware niż z operacją uruchomioną ręcznie przez ofiarę. W kampanii na macOS pobierany jest plik binarny podszywający się pod komponent legalnego oprogramowania, na przykład klienta konferencyjnego.

Po uruchomieniu pierwszy etap instaluje kolejne komponenty i wyświetla komunikaty zwiększające wiarygodność, sugerujące powodzenie aktualizacji lub naprawy. Następnie uruchamiany jest moduł profilujący system, który komunikuje się z infrastrukturą sterującą i przygotowuje środowisko do dalszej eksfiltracji danych. Kolejne elementy odpowiadają za utrzymanie trwałości infekcji, tak aby złośliwe oprogramowanie mogło zostać wznowione przy kolejnych logowaniach użytkownika.

Główny komponent stealerowy, identyfikowany jako macrasv2, zbiera artefakty z różnych obszarów systemu. Dotyczy to zapisanych poświadczeń przeglądarek, ciasteczek sesyjnych, danych rozszerzeń, wpisów z macOS Keychain oraz innych lokalnie przechowywanych sekretów. Zebrane informacje są porządkowane w katalogu tymczasowym, a następnie wyprowadzane poza organizację. Opisy kampanii wskazują również na użycie komunikatorów jako kanału przesyłu danych. Na końcu malware stosuje mechanizm samo-usuwania, co utrudnia analizę po incydencie.

Warto zwrócić uwagę, że nawet jeśli część kodu nie sprawia wrażenia wyjątkowo dopracowanej, skuteczność całej operacji pozostaje wysoka. O powodzeniu decyduje bowiem przede wszystkim dobra socjotechnika i odpowiedni moment skłonienia użytkownika do działania, a nie wyłącznie zaawansowanie techniczne samej próbki.

Konsekwencje / ryzyko

Ryzyko dla organizacji jest wysokie, ponieważ kampania celuje w osoby o dużej wartości operacyjnej: menedżerów, pracowników finansowych, administratorów oraz użytkowników mających dostęp do wrażliwych systemów SaaS. Przejęcie cookies sesyjnych i poświadczeń może umożliwić atakującym przejęcie aktywnych sesji, a w niektórych przypadkach także obejście części mechanizmów ochronnych opartych na uwierzytelnianiu wieloskładnikowym.

Dostęp do wpisów zapisanych w Keychain może otworzyć drogę do dalszej kompromitacji kont, usług i zasobów firmowych. W sektorach FinTech i kryptowalut skutki mogą obejmować bezpośrednią utratę aktywów, przejęcie dostępu do portfeli, wyciek dokumentów strategicznych, kompromitację kont pocztowych i wykorzystanie zdobytych informacji do oszustw BEC. Dodatkowym problemem jest opóźnione wykrycie incydentu, ponieważ pierwszy etap wygląda jak zwykła aktywność użytkownika podczas spotkania online.

Rekomendacje

Obrona przed ClickFix wymaga połączenia edukacji użytkowników, monitoringu zachowań na stacjach roboczych i kontroli wykonywania poleceń. Kluczowa zasada powinna być jasna: legalne narzędzia do wideokonferencji nie wymagają ręcznego uruchamiania poleceń w Terminalu ani pobierania nieznanych plików wykonywalnych w celu naprawy połączenia.

• Szkol pracowników, aby rozpoznawali próby wymuszenia ręcznego uruchomienia poleceń lub binariów podczas spotkań online.
• Monitoruj użycie narzędzi takich jak curl, wget, bash i osascript na stacjach macOS.
• Rejestruj wykonania poleceń inicjowanych z kontekstu użytkownika w trakcie sesji przeglądarkowych i komunikacyjnych.
• Wzmacniaj polityki uruchamiania dla niepodpisanych lub nietypowo nazwanych plików binarnych.
• Stosuj EDR z regułami wykrywającymi łańcuch pobranie–uruchomienie–persistencja.
• Kontroluj ruch do usług komunikacyjnych i chmurowych, które mogą zostać użyte do C2 lub eksfiltracji danych.
• Ogranicz lokalne przechowywanie sekretów i stosuj rozdzielenie kont uprzywilejowanych od codziennej pracy.
• Prowadź regularny hunting pod kątem kradzieży danych z przeglądarek, Keychain i mechanizmów autostartu w macOS.

Równie ważne jest objęcie użytkowników Apple takim samym poziomem ochrony korporacyjnej jak użytkowników Windows. W wielu organizacjach polityki telemetrii, response i egzekwowania kontroli bezpieczeństwa dla macOS pozostają mniej dojrzałe, co tworzy lukę, którą atakujący aktywnie wykorzystują.

Podsumowanie

Kampania Lazarus pokazuje, że ClickFix pozostaje jedną z najskuteczniejszych metod początkowej kompromitacji, szczególnie w środowiskach opartych na relacjach biznesowych, komunikatorach i zaufaniu do platform spotkań online. Ataki na macOS przestały być zjawiskiem marginalnym i coraz wyraźniej stają się elementem operacji ukierunkowanych na kradzież danych, poświadczeń i aktywów finansowych.

Najważniejszy wniosek jest prosty: nawet rozbudowane zabezpieczenia endpointów mogą zostać osłabione, jeśli użytkownik da się przekonać do ręcznego uruchomienia szkodliwego działania. Dlatego skuteczna obrona musi łączyć telemetrię, kontrolę wykonania, segmentację dostępu oraz praktyczne szkolenia z zakresu rozpoznawania socjotechniki.

Źródła

1. Dark Reading — https://www.darkreading.com/threat-intelligence/north-koreas-lazarus-targets-macos-users-clickfix
2. SecurityWeek — https://www.securityweek.com/north-korean-hackers-use-applescript-clickfix-in-fresh-macos-attacks/
3. Cointelegraph — https://cointelegraph.com/news/lazarus-group-malware-crypto-business-execs-macos