Mach-O Man Malware သည် Lazarus Group Crypto Campaign တွင် macOS Keychain Data ကိုခိုးယူသည် – Bitcoin သတင်း

By admin On Apr 22, 2026

အဓိက ထုတ်ယူမှုများ-

မြောက်ကိုရီးယား၏ Lazarus Group သည် Mach-O Man Malware ကို macOS အသုံးပြုသူများကို ပစ်မှတ်ထား၍ အသုံးပြုခဲ့သည်။ crypto နှင့် 2026 ဧပြီလတွင် fintech အခန်းကဏ္ဍများ။
Bitso ၏ Quetzal အဖွဲ့မှ Go-compiled kit သည် အထောက်အထားခိုးယူမှု၊ သော့ချိတ်ဝင်ရောက်မှုနှင့် ဒေတာကို အဆင့်လေးဆင့်ဖြင့် ထုတ်ယူနိုင်စေကြောင်း အတည်ပြုခဲ့သည်။
လုံခြုံရေးသုတေသီများသည် Terminal-based ClickFix လှည့်စားမှုများကိုပိတ်ဆို့ရန်နှင့် Onedrive အသွင်ဆောင်သည့်ဖိုင်များအတွက် LaunchAgents များကိုစစ်ဆေးရန် 2026 ခုနှစ် ဧပြီလ 22 ရက်နေ့တွင် ကုမ္ပဏီများအားတိုက်တွန်းခဲ့သည်။

မြောက်ကိုရီးယား macOS Malware သည် US ကို ပစ်မှတ်ထားနေကြောင်း သုတေသီများက ဖော်ထုတ်ခဲ့သည်။ Crypto နှင့် ဝဘ်၃ လုပ်ငန်းများ

လုံခြုံရေးသုတေသီများ Bitso ၏ Quetzal အဖွဲ့ANY.RUN sandbox ပလပ်ဖောင်းကို လူသိရှင်ကြား လုပ်ဆောင်ခြင်း။ ထုတ်ဖော်ခဲ့သည်။ ၎င်းတို့သည် “ မြောက်ကိုရီးယား၏ Safari” အမည်ရှိ ကမ်ပိန်းတစ်ခုကို ခွဲခြမ်းစိတ်ဖြာပြီးနောက် ဧပြီလ 21 ရက်၊ 2026 တွင် အဆိုပါကိရိယာကို အသုံးပြုခဲ့သည်။ အဖွဲ့သည် ကိရိယာတန်ဆာပလာများကို လာဇရု၏ မကြာသေးမီက အကြီးစားစက်နှင့် ချိတ်ဆက်ခဲ့သည်။ crypto ခိုးယူတိုက်ခိုက်ခြင်းများအပါအဝင်၊ KelpDAO နှင့် ပျံ့တန်ဖိုးမြင့် macOS အသုံးပြုသူများအတွက် အဖွဲ့၏ တသမတ်တည်း ပစ်မှတ်ထားခြင်းကို ကိုးကား၍ ဝဘ်၃ နှင့် fintech အခန်းကဏ္ဍများ။

Mach-O Man ကို Go ဖြင့်ရေးသားထားပြီး Mach-O binaries များအဖြစ်၎င်းကို Intel နှင့် Apple Silicon စက်များနှစ်မျိုးလုံးမှဇာတိပြုထားသည်။ ဤကိရိယာသည် ကွဲပြားသည့်အဆင့် လေးဆင့်ဖြင့် လုပ်ဆောင်ပြီး ဘရောက်ဆာအထောက်အထားများ၊ macOS Keychain ထည့်သွင်းမှုများ၊ နှင့် ဘရောက်ဆာအထောက်အထားများကို စုဆောင်းရန် ဒီဇိုင်းထုတ်ထားသည်။ crypto ခြေရာများကို မဖျက်မီ အကောင့်ဝင်ရောက်ခွင့်။

ရောဂါကူးစက်မှုသည် ဆော့ဖ်ဝဲလ်အသုံးချမှုမဟုတ်ဘဲ လူမှုရေးအင်ဂျင်နီယာနှင့် စတင်သည်။ တိုက်ခိုက်သူများသည် လုပ်ဖော်ကိုင်ဖက်များ ပိုင်ဆိုင်သော Telegram အကောင့်များကို အပေးအယူလုပ်ခြင်း သို့မဟုတ် အယောင်ဆောင်ခြင်း ဖြစ်သည်။ ဝဘ်၃ နှင့် crypto စက်ဝိုင်းများ။ ပစ်မှတ်သည် Zoom အတွက် အရေးပေါ်အစည်းအဝေး ဖိတ်ကြားချက်ကို လက်ခံရရှိသည်၊ မိုက်ခရိုဆော့ဖ် အသင်းများ သို့မဟုတ် Google update-teams.live သို့မဟုတ် livemicrosft.com ကဲ့သို့သော ယုံကြည်စိတ်ချရသော ဝက်ဆိုက်အတုတစ်ခုသို့ လင့်ခ်ချိတ်ထားသည်ကို တွေ့ပါ။

ဝဘ်ဆိုက်အတုသည် အတုယူထားသော ချိတ်ဆက်မှု အမှားကို ပြသပြီး ၎င်းကို ဖြေရှင်းရန် Terminal အမိန့်ကို ကူးယူပြီး ကူးထည့်ရန် အသုံးပြုသူကို ညွှန်ကြားထားသည်။ Clickfix ဟုခေါ်သော ဤနည်းပညာကို macOS အတွက် လိုက်လျောညီထွေဖြစ်အောင် ပြုလုပ်ထားသော ဤနည်းပညာသည် အသုံးပြုသူကို curl မှတစ်ဆင့် ကနဦး အဆင့်ဖိုင်ဖြစ်သော teamsSDK.bin ကို လုပ်ဆောင်ရန် ဦးတည်စေသည်။ အသုံးပြုသူသည် အဆိုပါအမိန့်ကို ကိုယ်တိုင်လုပ်ဆောင်သောကြောင့်၊ macOS Gatekeeper သည် ၎င်းကို မပိတ်ဆို့ပါ။

Stager သည် အက်ပ်အစုအဝေးအတုကို ဒေါင်းလုဒ်လုပ်ကာ ၎င်းကိုတရားဝင်ပုံပေါ်စေရန် ad-hoc ကုဒ်လက်မှတ်ထိုးခြင်းကို အသုံးပြုကာ အသုံးပြုသူကို ၎င်းတို့၏ macOS စကားဝှက်အတွက် အချက်ပြသည်။ Window သည် ပထမအကြိမ် ကြိုးပမ်းမှုနှစ်ခုတွင် လှုပ်ယမ်းပြီး တတိယအကြိမ်တွင် အထောက်အထားကို လက်ခံသည်၊ မှားယွင်းသောယုံကြည်မှုကို တည်ဆောက်ရန် တမင်တကာ ဒီဇိုင်းရွေးချယ်မှုဖြစ်သည်။

အဲဒီနေရာမှာ သုတေသီရဲ့ အစီရင်ခံချက်ပါ။ အခြားအကောင့်များ ပရိုဖိုင်းဒွိတစ်ခုသည် စက်၏အိမ်ရှင်အမည်၊ UUID၊ CPU၊ လည်ပတ်မှုစနစ်အသေးစိတ်၊ လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်များနှင့် Brave၊ Chrome၊ Firefox၊ Safari၊ Opera နှင့် Vivaldi တို့ရှိ ဘရောက်ဆာ တိုးချဲ့မှုများကို စာရင်းကောက်သည်ဟုဆိုသည်။ သုတေသီများသည် ပရိုဖိုင်းတွင် အကန့်အသတ်မရှိ လှည့်ပတ်ဖန်တီးပေးသည့် coding bug ပါ၀င်ကြောင်း သုတေသီများက သတိပြုမိသည်မှာ တက်ကြွသောကူးစက်မှုကို ဖော်ထုတ်နိုင်သည့် CPU spikes များဖြစ်သည်။

ထို့နောက် စွဲမြဲသော မော်ဂျူးတစ်ခုသည် Onedrive ဟုခေါ်သော အမည်ပြောင်းထားသော ဖိုင်ကို “Antivirus Service” ဟု အညွှန်းတပ်ထားသော ဖိုင်တွဲတစ်ခုအောက်ရှိ လျှို့ဝှက်လမ်းကြောင်းတစ်ခုသို့ လွှတ်ချလိုက်ပြီး com.onedrive.launcher.plist ဟုခေါ်သော Launchagent တစ်ခုကို မှတ်ပုံတင်ထားသောကြောင့် ၎င်းသည် လော့ဂ်အင်တွင် အလိုအလျောက် အလုပ်လုပ်ပါသည်။

နောက်ဆုံးအဆင့်တွင်၊ macrav2 ဟုအမည်တပ်ထားသော ခိုးယူသူ ဒွိစုံသည် ဘရောက်ဆာ တိုးချဲ့မှုဒေတာ၊ SQLite အထောက်အထားဒေတာဘေ့စ်များနှင့် Keychain ပစ္စည်းများကို စုဆောင်းကာ ဇစ်ဖိုင်တစ်ခုအဖြစ် ချုံ့ပြီး Telegram Bot API မှတစ်ဆင့် ပက်ကေ့ဂျ်ကို ဖယ်ထုတ်သည်။ သုတေသီများသည် ရုပ်သံလိုင်းကို စောင့်ကြည့်ရန် သို့မဟုတ် နှောင့်ယှက်ရန် ခွင့်ပြုနိုင်သည့် ကြီးမားသော လုပ်ငန်းဆောင်ရွက်မှု လုံခြုံရေး ချို့ယွင်းချက်အဖြစ် ဖော်ပြထားသည့် Telegram bot တိုကင်ကို သုတေသီများက တွေ့ရှိခဲ့သည်။

Quetzal အဖွဲ့သည် အဓိကအစိတ်အပိုင်းအားလုံးအတွက် SHA-256 hash များကို ထုတ်ပြန်ခဲ့ပြီး IP လိပ်စာများကို 172.86.113.102 နှင့် 144.172.114.220 သို့ညွှန်ပြသော ကွန်ရက်အညွှန်းများနှင့်အတူ ထုတ်ဝေခဲ့သည်။ လုံခြုံရေးသုတေသီများက ကိရိယာကို လာဇရုကိုကျော်လွန်သည့်အုပ်စုများက အသုံးပြုနေကြသည်ကို သတိပြုမိပြီး ကိရိယာကို ခြိမ်းခြောက်မှုဇာတ်ဆောင်ဂေဟစနစ်အတွင်း မျှဝေရောင်းချခြင်း သို့မဟုတ် ရောင်းချခြင်းဖြစ်သည်ဟု အကြံပြုခဲ့သည်။

လာဇရုခြိမ်းခြောက်ထောက်လှမ်းရေးကုမ္ပဏီများမှ Famous Chollima အဖြစ်လည်း ခြေရာခံခဲ့ပြီး၊ ဒေါ်လာဘီလီယံနှင့်ချီ၍ ရှိကြောင်း၊ cryptocurrency လွန်ခဲ့သော နှစ်ပေါင်းများစွာက ခိုးမှု။ အဖွဲ့၏ယခင် macOS ကိရိယာများတွင် Applejeus နှင့် Rustbucket ပါဝင်သည်။ Mach-O Man သည် macOS အပေးအယူလုပ်ခြင်းများအတွက် နည်းပညာဆိုင်ရာ အတားအဆီးကို လျှော့ချနေစဉ် တူညီသော ပစ်မှတ်ပရိုဖိုင်ကို လိုက်နာသည်။

Volo Protocol သည် Sui Blockchain Exploit တွင်ဒေါ်လာ 3.5 သန်းဆုံးရှုံးပြီး WBTC တံတားကြိုးပမ်းမှုကိုပိတ်ဆို့သည်

Sui blockchain ရှိ အရည်လောင်းကြေးနှင့် BTCFi ပလပ်ဖောင်းတစ်ခုဖြစ်သည့် Volo Protocol သည် ယခုသီတင်းပတ်အတွင်း လုံခြုံရေးအမြတ်ထုတ်ငွေ $3.5 သန်းကို အတည်ပြုခဲ့သည်…

ယခုဖတ်ပါ။

Volo Protocol သည် Sui Blockchain Exploit တွင်ဒေါ်လာ 3.5 သန်းဆုံးရှုံးပြီး WBTC တံတားကြိုးပမ်းမှုကိုပိတ်ဆို့သည်

ယခုဖတ်ပါ။

Volo Protocol သည် Sui Blockchain Exploit တွင်ဒေါ်လာ 3.5 သန်းဆုံးရှုံးပြီး WBTC တံတားကြိုးပမ်းမှုကိုပိတ်ဆို့သည်

ယခုဖတ်ပါ။

လုံခြုံရေးအဖွဲ့တွေ ရောက်ရောက် crypto နှင့် fintech ကုမ္ပဏီများသည် Launchagents လမ်းညွှန်များကို စစ်ဆေးရန်၊ ပုံမှန်မဟုတ်သော ဖိုင်လမ်းကြောင်းများမှ လုပ်ဆောင်နေသည့် Onedrive လုပ်ငန်းစဉ်များကို စောင့်ကြည့်ရန်၊ ၎င်းသည် လည်ပတ်ရန်မလိုအပ်သည့် အပြင်ဘက် Telegram Bot API လမ်းကြောင်းကို ပိတ်ဆို့ရန် အကြံပြုထားသည်။ အသုံးပြုသူများသည် ဝဘ်စာမျက်နှာများမှ ကူးယူထားသော Terminal အမိန့်များကို ဘယ်သောအခါမှ ကူးထည့်ခြင်းမပြုသင့်ပါ။

Apple တွင် macOS များ လည်ပတ်နေသော အဖွဲ့အစည်းများ crypto သီးခြားဆက်သွယ်ရေးချန်နယ်မှတဆင့် အတည်ပြုမပြီးမချင်း အရေးပေါ်၊ တောင်းဆိုမထားသော အစည်းအဝေးလင့်ခ်ကို ပတ်ဝန်းကျင်တွင် ထည့်သွင်းသင့်သည်။

Source