Nieuwe macOS-malware van Lazarus Group verspreidt zich via nepvergaderingen

In dit artikel:

Beveiligingsonderzoekers hebben een nieuwe macOS-malwarecampagne ontdekt, gelabeld "Mach-O Man" en toegeschreven aan de Noord-Koreaanse Lazarus Group. De ontdekking, gemeld deze week door onderzoeker Mauro Eldritch en collega’s, toont een social-engineering-aanval die slachtoffers via valse Zoom- of Google Meet-uitnodigingen overhaalt zelf schadelijke commando’s op hun computer uit te voeren. Omdat gebruikers de handelingen zelf doen, omzeilt de aanval vaak conventionele detectiemechanismen.

Na installatie verzamelt de malware credential-gegevens en andere gevoelige informatie: browserextensies, opgeslagen wachtwoorden, cookies en items uit de macOS Keychain. Die data wordt naar de aanvallers gestuurd, onder meer via Telegram, en de malware wist zich uiteindelijk om opsporing te bemoeilijken.

De campagne illustreert dat Lazarus zijn pijlen breder richt dan alleen cryptobedrijven. De groep wordt al eerder in verband gebracht met grootschalige diefstallen, waaronder de Bybit-hack van circa 1,4 miljard dollar in 2025. Ook recentere incidenten tonen toenemende professionalisering: in april gebruikten Noord-Koreaanse hackers kunstmatige intelligentie om ongeveer 100.000 dollar van cryptowalletbedrijf Zerion te stelen.

Advies van experts is tweeledig: versterk technische maatregelen (patchen, endpointbescherming, geavanceerde detectie, multi-factor-authenticatie en beperking van privileges) en train medewerkers om nooit ongeteste commando’s uit te voeren tijdens online meetings of via ongevraagde instructies. De combinatie van menselijk misleiding en gerichte tooling maakt dergelijke aanvallen moeilijker te onderscheppen, waardoor bewustzijn bij personeel cruciaal is om toekomstige incidenten te voorkomen.