tradingkey.logo
tradingkey.logo
Pesquisar

O grupo norte-coreano Lazarus lança novo kit de malware direcionado a usuários de macOS nos setores de criptomoedas e fintech

Cryptopolitan22 de abr de 2026 às 12:14
facebooktwitterlinkedin
Ver todos os comentários0

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Hackers norte-coreanos atacam usuários de Mac

Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.

de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Hackers norte-coreanos atacam usuários de Mac

Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.

de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.

O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.

Hackers norte-coreanos atacam usuários de Mac

Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.

de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.

O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.

Hackers norte-coreanos atacam usuários de Mac

Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.

de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.

Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.

Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.

Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.

O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas. 

O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS
Instalação do malware Mach-O Man em aplicativos falsos. Fonte: AnyRun

Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.

Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.

Dentro do malware Mach-O Man

O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução

Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.

O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"

O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.

O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA

O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.

Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.

Se você quer uma entrada mais tranquila no mundo das criptomoedas DeFi , sem a euforia habitual, comece com este vídeo gratuito.

Aviso legal: as informações fornecidas neste site são apenas para fins educacionais e informativos e não devem ser consideradas consultoria financeira ou de investimento.

Comentários (0)

Clique no botão $, digite o código do ativo e selecione para vincular uma ação, ETF ou outro ticker.

0/500
Diretrizes de comentários
Carregando...

Artigos recomendados