Malware para macOS ligado ao Lazarus Group atinge empresas de criptomoedas e fintechs

Pesquisadores de segurança vincularam uma nova campanha de malware para macOS ao Lazarus Group, operação de hackers ligada à Coreia do Norte responsável por alguns dos maiores roubos da indústria cripto.

Identificado na terça-feira, o novo kit de malware “Mach-O Man” é distribuído por esquemas de engenharia social do tipo “ClickFix” contra empresas tradicionais e companhias de criptomoedas, segundo Mauro Eldritch, especialista em segurança ofensiva e fundador da empresa de inteligência de ameaças BCA Ltd.

As vítimas são atraídas para falsas chamadas no Zoom ou Google Meet, nas quais são induzidas a executar comandos que baixam o malware em segundo plano, permitindo que invasores contornem controles tradicionais sem detecção para obter acesso a credenciais e sistemas corporativos, afirmou o pesquisador em relatório divulgado na terça-feira.

Pesquisadores disseram que a campanha pode levar ao controle de contas, acesso não autorizado à infraestrutura, perdas financeiras e exposição de dados críticos, destacando como o Lazarus continua ampliando seus alvos para além de empresas nativas do setor cripto.

O Lazarus Group é o principal suspeito de alguns dos maiores hacks de criptomoedas da história, incluindo o ataque de US$ 1,4 bilhão à exchange Bybit em 2025, o maior do setor até agora.

Aplicativos falsos do kit Mach-O Man. Fonte: ANY.RUN

Kit “Mach-O Man” busca instalar malware furtador oculto

A etapa final da campanha é um malware furtador projetado para extrair dados de extensões de navegador, credenciais salvas no navegador, cookies, entradas do Keychain do macOS e outras informações sensíveis de dispositivos infectados.

Diretório final de instalação do malware furtador. Fonte: Any.run

Após a coleta, os dados são compactados em um arquivo zip e exfiltrados por meio do Telegram para os invasores. Por fim, um script de autodestruição remove todo o kit usando o comando rm do sistema, que contorna confirmações do usuário e permissões ao excluir arquivos.

O novo kit de malware foi reconstruído pelo especialista em segurança usando os recursos de análise para macOS da sandbox em nuvem Any.run.

No início de abril, hackers norte-coreanos usaram esquemas de engenharia social com IA para roubar cerca de US$ 100.000 da carteira cripto Zerion, após obter acesso às sessões conectadas de alguns membros da equipe, credenciais e chaves privadas da empresa, informou o Cointelegraph em 15/04.