- O grupo norte-coreano Lazarus Group usa um kit de malware inédito para macOS, chamado Mach-O Man, contra empresas de fintech e criptomoedas.
- O ataque começa pelo Telegram, com convites de reunião de contatos comprometidos que levam a sites falsos que se passam por Zoom, Teams ou Meet.
- O site induz a vítima a instalar o malware via técnica ClickFix, solicitando que o usuário copie e cole um comando no terminal para “consertar” a conexão.
- O kit envolve quatro estágios: stager, aplicação falsa, módulo de coleta de informações e persistência, com exfiltração de dados via Telegram e remoção automática ao final.
- Entre os componentes estão o stealer de dados de navegador, Keychain do macOS e cookies, além de tráfego de rede nas portas 8888 e 9999 com User-Agent do Go; a operação apresenta falhas de implementação e expõe token de bot de exfiltração.
O grupo norte-coreano Lazarus Group atua em campanhas contra fintechs e empresas de criptomoedas, usando um kit de malware inédito para macOS. Batizado de Mach-O Man, o conjunto de ferramentas foi identificado em distribuição ativa e analisado em sandbox. O foco é roubar senhas, sessões de navegador e dados do Keychain.
A entrada ocorre via Telegram, com convites de reunião de contatos comprometidos. O usuário acessa um site falso que imita Zoom, Teams ou Meet para indução. O atacante utiliza uma técnica chamada ClickFix, que leva o usuário a executarem um comando no terminal.
O ataque não explora vulnerabilidades técnicas; ele depende da ação do próprio usuário para entregar o malware. Assim, as defesas monitoram mais ações automáticas do que comandos manuais no terminal.
Como funciona o Mach-O Man
O kit utiliza binários nativos do macOS escritos em Go e apresenta quatro estágios de infecção. O primeiro componente, stager teamsSDK.bin, baixa um app falso que imita plataformas como Zoom, Teams ou Meet.
Em seguida, o malware usa a ferramenta nativa codesign para assinar o bundle, parecendo legítimo ao macOS. O código aponta a opção Google, que exibe a mensagem not yet implemented.
O aplicativo falso solicita a senha do usuário três vezes. As duas primeiras tentativas falham, e a tela treme. Na terceira, a janela some e o aplicativo exibe o logo da plataforma simulada.
Coleta de dados e persistência
Paralelamente, o próximo estágio coleta informações da máquina por meio de ferramentas do macOS. Dados como hostname, CPU, rede, processos e extensões de navegador são enviados ao servidor C2 dos atacantes.
O terceiro componente cria a persistência, simulando um serviço de antivírus. Ele instala um LaunchAgent para reexecutar o malware a cada login, mantendo a infecção após reinicializações.
O estágio final, chamado stealer macrasv2, obtém credenciais de browsers, cookies, dados do Keychain e tokens. Todo o material é compactado e exfiltrado pelo Telegram, via API da plataforma.
Falhas, exposição de tokens e tráfego de rede
A análise aponta falhas de implementação: alguns módulos entram em loop e consomem recursos. Diversos componentes apresentam erros, sugerindo uso não testado exaustivamente.
Foi exposto o token do bot de exfiltração no Telegram, o que permitiria leitura de mensagens e identificação do operador. A infraestrutura dos atacantes também apareceu com serviços de acesso remoto ativos.
O tráfego de rede utiliza as portas 8888 e 9999 com o User-Agent Go-http-client, facilitando a identificação em monitoramentos. Recomenda-se análise em sandbox com suporte a macOS para triagem.
Entre na conversa da comunidade