{"id":553446,"date":"2026-04-23T16:30:00","date_gmt":"2026-04-23T19:30:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/23\/cibercriminosos-organizam-reunioes-falsas-para-invadir-macs-corporativos\/"},"modified":"2026-04-23T16:30:00","modified_gmt":"2026-04-23T19:30:00","slug":"cibercriminosos-organizam-reunioes-falsas-para-invadir-macs-corporativos","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/23\/cibercriminosos-organizam-reunioes-falsas-para-invadir-macs-corporativos\/","title":{"rendered":"Cibercriminosos organizam reuni\u00f5es falsas para invadir Macs corporativos"},"content":{"rendered":"<p>O grupo norte-coreano Lazarus Group atua em campanhas contra fintechs e empresas de criptomoedas, usando um kit de malware in\u00e9dito para macOS. Batizado de Mach-O Man, o conjunto de ferramentas foi identificado em distribui\u00e7\u00e3o ativa e analisado em sandbox. O foco \u00e9 roubar senhas, sess\u00f5es de navegador e dados do Keychain.<\/p>\n<p>A entrada ocorre via Telegram, com convites de reuni\u00e3o de contatos comprometidos. O usu\u00e1rio acessa um site falso que imita Zoom, Teams ou Meet para indu\u00e7\u00e3o. O atacante utiliza uma t\u00e9cnica chamada ClickFix, que leva o usu\u00e1rio a executarem um comando no terminal.<\/p>\n<p>O ataque n\u00e3o explora vulnerabilidades t\u00e9cnicas; ele depende da a\u00e7\u00e3o do pr\u00f3prio usu\u00e1rio para entregar o malware. Assim, as defesas monitoram mais a\u00e7\u00f5es autom\u00e1ticas do que comandos manuais no terminal.<\/p>\n<h3>Como funciona o Mach-O Man<\/h3>\n<p>O kit utiliza bin\u00e1rios nativos do macOS escritos em Go e apresenta quatro est\u00e1gios de infec\u00e7\u00e3o. O primeiro componente, stager teamsSDK.bin, baixa um app falso que imita plataformas como Zoom, Teams ou Meet.<\/p>\n<p>Em seguida, o malware usa a ferramenta nativa codesign para assinar o bundle, parecendo leg\u00edtimo ao macOS. O c\u00f3digo aponta a op\u00e7\u00e3o Google, que exibe a mensagem not yet implemented.<\/p>\n<p>O aplicativo falso solicita a senha do usu\u00e1rio tr\u00eas vezes. As duas primeiras tentativas falham, e a tela treme. Na terceira, a janela some e o aplicativo exibe o logo da plataforma simulada.<\/p>\n<h3>Coleta de dados e persist\u00eancia<\/h3>\n<p>Paralelamente, o pr\u00f3ximo est\u00e1gio coleta informa\u00e7\u00f5es da m\u00e1quina por meio de ferramentas do macOS. Dados como hostname, CPU, rede, processos e extens\u00f5es de navegador s\u00e3o enviados ao servidor C2 dos atacantes.<\/p>\n<p>O terceiro componente cria a persist\u00eancia, simulando um servi\u00e7o de antiv\u00edrus. Ele instala um LaunchAgent para reexecutar o malware a cada login, mantendo a infec\u00e7\u00e3o ap\u00f3s reinicializa\u00e7\u00f5es.<\/p>\n<p>O est\u00e1gio final, chamado stealer macrasv2, obt\u00e9m credenciais de browsers, cookies, dados do Keychain e tokens. Todo o material \u00e9 compactado e exfiltrado pelo Telegram, via API da plataforma.<\/p>\n<h3>Falhas, exposi\u00e7\u00e3o de tokens e tr\u00e1fego de rede<\/h3>\n<p>A an\u00e1lise aponta falhas de implementa\u00e7\u00e3o: alguns m\u00f3dulos entram em loop e consomem recursos. Diversos componentes apresentam erros, sugerindo uso n\u00e3o testado exaustivamente.<\/p>\n<p>Foi exposto o token do bot de exfiltra\u00e7\u00e3o no Telegram, o que permitiria leitura de mensagens e identifica\u00e7\u00e3o do operador. A infraestrutura dos atacantes tamb\u00e9m apareceu com servi\u00e7os de acesso remoto ativos.<\/p>\n<p>O tr\u00e1fego de rede utiliza as portas 8888 e 9999 com o User-Agent Go-http-client, facilitando a identifica\u00e7\u00e3o em monitoramentos. Recomenda-se an\u00e1lise em sandbox com suporte a macOS para triagem.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>O grupo norte-coreano Lazarus Group usa um kit de malware in\u00e9dito para macOS, chamado Mach-O Man, contra empresas de fintech e criptomoedas.<\/li>\n<li>O ataque come\u00e7a pelo Telegram, com convites de reuni\u00e3o de contatos comprometidos que levam a sites falsos que se passam por Zoom, Teams ou Meet.<\/li>\n<li>O site induz a v\u00edtima a instalar o malware via t\u00e9cnica ClickFix, solicitando que o usu\u00e1rio copie e cole um comando no terminal para \u201cconsertar\u201d a conex\u00e3o.<\/li>\n<li>O kit envolve quatro est\u00e1gios: stager, aplica\u00e7\u00e3o falsa, m\u00f3dulo de coleta de informa\u00e7\u00f5es e persist\u00eancia, com exfiltra\u00e7\u00e3o de dados via Telegram e remo\u00e7\u00e3o autom\u00e1tica ao final.<\/li>\n<li>Entre os componentes est\u00e3o o stealer de dados de navegador, Keychain do macOS e cookies, al\u00e9m de tr\u00e1fego de rede nas portas 8888 e 9999 com User-Agent do Go; a opera\u00e7\u00e3o apresenta falhas de implementa\u00e7\u00e3o e exp\u00f5e token de bot de exfiltra\u00e7\u00e3o.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":553501,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Grupo Lazarus usa sites falsos de reuni\u00f5es para distribuir Mach-O Man em Macs, roubando senhas e dados do Keychain de fintechs; falhas exp\u00f5em token do bot de exfiltra\u00e7\u00e3o","footnotes":""},"categories":[296,1],"tags":[104,102,269,101,95,189],"class_list":["post-553446","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-conflitos","tag-internacionais","tag-pessoas","tag-redes-sociais","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/553446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=553446"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/553446\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/553501"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=553446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=553446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=553446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}