Nieuwe macOS-malware van Lazarus Group verspreidt zich via nepvergaderingen

Beveiligingsonderzoekers hebben een nieuwe malwarecampagne voor macOS ontdekt die wordt gelinkt aan de beruchte Lazarus Group, een hackergroep die banden heeft met Noord-Korea. De groep, die eerder verantwoordelijk werd gehouden voor grootschalige cryptodiefstallen, richt zich met deze aanval niet alleen op cryptobedrijven, maar ook op traditionele organisaties.

De malware, genaamd “Mach-O Man”, werd deze week geïdentificeerd door cybersecurity-experts. Volgens onderzoeker Mauro Eldritch wordt de schadelijke software verspreid via social engineering, een techniek waarbij slachtoffers worden misleid om zelf acties uit te voeren die hun systemen kwetsbaar maken.

Nep-Zoomgesprekken als ingang

De aanval begint met een uitnodiging voor een ogenschijnlijk legitieme Zoom- of Google Meet-vergadering. Tijdens deze nepmeeting krijgen slachtoffers instructies om bepaalde commando’s uit te voeren op hun computer. Zonder dat ze het doorhebben, installeren ze daarmee de malware.

Doordat gebruikers zelf de handelingen uitvoeren, worden traditionele beveiligingsmaatregelen vaak omzeild. Dit maakt de aanval moeilijk te detecteren.

Toegang tot gevoelige gegevens

Na installatie kan de malware toegang krijgen tot gevoelige informatie, zoals inloggegevens en interne systemen van bedrijven. Dit kan leiden tot accountovernames, datalekken en financiële schade.

De laatste fase van de aanval bevat een zogenoemde ‘stealer’. Dit onderdeel verzamelt gegevens van onder meer browserextensies, opgeslagen wachtwoorden, cookies en macOS Keychain. Deze informatie wordt vervolgens verzonden naar de aanvallers, onder andere via Telegram.

Om sporen uit te wissen, verwijdert de malware zichzelf na afloop. Dit bemoeilijkt onderzoek naar de aanval.

Lazarus Group breidt activiteiten uit

De Lazarus Group wordt gezien als één van de meest geavanceerde cyberdreigingen wereldwijd. De groep wordt onder meer verantwoordelijk gehouden voor de hack van ongeveer 1,4 miljard dollar bij cryptobeurs Bybit in 2025, de grootste cryptodiefstal tot nu toe.

Met deze nieuwe campagne lijkt de groep zijn doelwitten verder uit te breiden. Waar eerder vooral de focus lag op de cryptosector, worden nu ook andere bedrijven steeds vaker getroffen.

Toename van geavanceerde cyberaanvallen

De ontdekking volgt op een eerder incident in april, waarbij Noord-Koreaanse hackers met behulp van kunstmatige intelligentie ongeveer 100.000 dollar buitmaakten van cryptowallet Zerion. Daarbij kregen zij toegang tot accounts en privésleutels van medewerkers.

De ontwikkelingen laten zien dat cyberaanvallen steeds geavanceerder worden en vaker inspelen op menselijk gedrag. Experts benadrukken daarom dat naast technische beveiliging ook bewustwording bij medewerkers essentieel is om dit soort aanvallen te voorkomen.