Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Cibercriminosos organizam reuniões falsas para invadir Macs corporativos

Grupo Lazarus usa sites falsos de reuniões para distribuir Mach-O Man em Macs, roubando senhas e dados do Keychain de fintechs; falhas expõem token do bot de exfiltração

Cibercrime organizado usa reuniões falsas para invadir Macs de empresas
0:00
Carregando...
0:00
  • O grupo norte-coreano Lazarus Group usa um kit de malware inédito para macOS, chamado Mach-O Man, contra empresas de fintech e criptomoedas.
  • O ataque começa pelo Telegram, com convites de reunião de contatos comprometidos que levam a sites falsos que se passam por Zoom, Teams ou Meet.
  • O site induz a vítima a instalar o malware via técnica ClickFix, solicitando que o usuário copie e cole um comando no terminal para “consertar” a conexão.
  • O kit envolve quatro estágios: stager, aplicação falsa, módulo de coleta de informações e persistência, com exfiltração de dados via Telegram e remoção automática ao final.
  • Entre os componentes estão o stealer de dados de navegador, Keychain do macOS e cookies, além de tráfego de rede nas portas 8888 e 9999 com User-Agent do Go; a operação apresenta falhas de implementação e expõe token de bot de exfiltração.

O grupo norte-coreano Lazarus Group atua em campanhas contra fintechs e empresas de criptomoedas, usando um kit de malware inédito para macOS. Batizado de Mach-O Man, o conjunto de ferramentas foi identificado em distribuição ativa e analisado em sandbox. O foco é roubar senhas, sessões de navegador e dados do Keychain.

A entrada ocorre via Telegram, com convites de reunião de contatos comprometidos. O usuário acessa um site falso que imita Zoom, Teams ou Meet para indução. O atacante utiliza uma técnica chamada ClickFix, que leva o usuário a executarem um comando no terminal.

O ataque não explora vulnerabilidades técnicas; ele depende da ação do próprio usuário para entregar o malware. Assim, as defesas monitoram mais ações automáticas do que comandos manuais no terminal.

Como funciona o Mach-O Man

O kit utiliza binários nativos do macOS escritos em Go e apresenta quatro estágios de infecção. O primeiro componente, stager teamsSDK.bin, baixa um app falso que imita plataformas como Zoom, Teams ou Meet.

Em seguida, o malware usa a ferramenta nativa codesign para assinar o bundle, parecendo legítimo ao macOS. O código aponta a opção Google, que exibe a mensagem not yet implemented.

O aplicativo falso solicita a senha do usuário três vezes. As duas primeiras tentativas falham, e a tela treme. Na terceira, a janela some e o aplicativo exibe o logo da plataforma simulada.

Coleta de dados e persistência

Paralelamente, o próximo estágio coleta informações da máquina por meio de ferramentas do macOS. Dados como hostname, CPU, rede, processos e extensões de navegador são enviados ao servidor C2 dos atacantes.

O terceiro componente cria a persistência, simulando um serviço de antivírus. Ele instala um LaunchAgent para reexecutar o malware a cada login, mantendo a infecção após reinicializações.

O estágio final, chamado stealer macrasv2, obtém credenciais de browsers, cookies, dados do Keychain e tokens. Todo o material é compactado e exfiltrado pelo Telegram, via API da plataforma.

Falhas, exposição de tokens e tráfego de rede

A análise aponta falhas de implementação: alguns módulos entram em loop e consomem recursos. Diversos componentes apresentam erros, sugerindo uso não testado exaustivamente.

Foi exposto o token do bot de exfiltração no Telegram, o que permitiria leitura de mensagens e identificação do operador. A infraestrutura dos atacantes também apareceu com serviços de acesso remoto ativos.

O tráfego de rede utiliza as portas 8888 e 9999 com o User-Agent Go-http-client, facilitando a identificação em monitoramentos. Recomenda-se análise em sandbox com suporte a macOS para triagem.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais