tradingkey.logo
tradingkey.logo
Buscar

El grupo norcoreano Lazarus lanza un nuevo kit de malware dirigido a usuarios de macOS en los sectores de criptomonedas y tecnología financiera

Cryptopolitan22 de abr de 2026 12:14
facebooktwitterlinkedin
Ver todos los comentarios0

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Los hackers de Corea del Norte atacan a los usuarios de Mac

Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.

El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Los hackers de Corea del Norte atacan a los usuarios de Mac

Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.

El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

El grupo norcoreano Lazarus ha lanzado un malware avanzado dirigido a dispositivos macOS. Mach-O Man, como se le conoce, está diseñado para atacar a empresas de criptomonedas, organizaciones de tecnología financiera y altos ejecutivos que utilizan Macs para transacciones financieras.

El ataque sedentpor primera vez a mediados de abril de 2026. Utiliza aplicaciones populares para el entorno laboral, como Zoom, Microsoft Teams y Google Meet, para lanzar ataques de ingeniería social.

Los hackers de Corea del Norte atacan a los usuarios de Mac

Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.

El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

El grupo norcoreano Lazarus ha lanzado un malware avanzado dirigido a dispositivos macOS. Mach-O Man, como se le conoce, está diseñado para atacar a empresas de criptomonedas, organizaciones de tecnología financiera y altos ejecutivos que utilizan Macs para transacciones financieras.

El ataque sedentpor primera vez a mediados de abril de 2026. Utiliza aplicaciones populares para el entorno laboral, como Zoom, Microsoft Teams y Google Meet, para lanzar ataques de ingeniería social.

Los hackers de Corea del Norte atacan a los usuarios de Mac

Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.

El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.

Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.

De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.

Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.

El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos. 

El grupo norcoreano Lazarus Group ataca a ejecutivos de alto nivel y del sector de las criptomonedas con el kit de malware para macOS 'Mach-O Man'
Instalación del malware Mach-O man en aplicaciones falsas. Fuente: AnyRun

Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.

A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.

Dentro del malware Mach-O Man

El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución

Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.

El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"

Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.

El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense

El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.

Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.

Si desea un punto de entrada más tranquilo al cripto DeFi sin la publicidad habitual, comience con este video gratuito.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.