O Chief Information Security Officer (CISO) da empresa MÃog Wu (23pds) publicou um alerta em 22 de abril, afirmando que o grupo de hackers norte-coreano Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS chamado “Mach-O Man”, projetado especificamente para a indústria de criptomoedas e para executivos de alto valor.
Técnicas de ataque e alvos
De acordo com o relatório de análise de Mauro Eldritch, este ataque utiliza a técnica ClickFix: os atacantes enviam links disfarçados de convites legítimos para reuniões via Telegram (usando contas de contatos comprometidas), direcionando as vítimas a um site falso que imita Zoom, Microsoft Teams ou Google Meet, e solicitando que o usuário execute comandos no terminal do macOS para “corrigir” problemas de conexão. Essa operação permite que os atacantes obtenham acesso ao sistema sem disparar medidas de segurança tradicionais.
Os dados-alvo incluem: credenciais e cookies armazenados no navegador, dados do macOS Keychain e dados das extensões de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox e Safari. Os dados roubados são exfiltrados por meio do Telegram Bot API; o relatório indica que os atacantes expuseram o token do bot do Telegram (falha de OPSEC), enfraquecendo a segurança operacional de suas ações.
Os alvos do ataque são principalmente desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas, bem como em ambientes corporativos de alto valor em que o macOS é amplamente utilizado.
Principais componentes do kit “Mach-O Man”
De acordo com a análise técnica de Mauro Eldritch, o kit é composto pelos seguintes módulos principais:
teamsSDK.bin: carregador inicial (inicializador), disfarçado como Teams, Zoom, Google ou aplicativo do sistema, realizando identificação básica de impressão digital do sistema
D1{string aleatória}.bin: analisador do sistema, coleta o nome da máquina, tipo de CPU, informações do sistema operacional e lista de extensões do navegador, e envia essas informações para o servidor C2
minst2.bin: módulo de persistência, cria diretório com disfarce “Antivirus Service” e um LaunchAgent para garantir execução contínua após cada login
macrasv2: coletor final (exfiltrador), coleta credenciais, cookies e entradas do macOS Keychain no navegador; depois empacota, exfiltra via Telegram e se autoelimina
Resumo de indicadores de comprometimento (IOC)
Conforme os IOCs divulgados no relatório de Mauro Eldritch:
IP malicioso: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Domínio malicioso: update-teams[.]live / livemicrosft[.]com
Arquivos-chave (parcial): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Portas de comunicação C2: 8888 e 9999; usa principalmente a string de características do User-Agent do cliente HTTP Go
Valores de hash completos e a matriz ATT&CK estão no relatório de pesquisa original de Mauro Eldritch.
Perguntas frequentes
“Mach-O Man” mira quais setores e alvos?
De acordo com o alerta do MÃog Wu 23pds e a pesquisa da BCA LTD, o “Mach-O Man” mira principalmente o setor de fintech e criptomoedas, além de ambientes corporativos de alto valor em que o macOS é amplamente utilizado, especialmente os grupos de desenvolvedores, executivos e tomadores de decisão.
Como os atacantes induzem usuários de macOS a executarem comandos maliciosos?
De acordo com a análise de Mauro Eldritch, os atacantes enviam via Telegram links disfarçados de convites legítimos para reuniões, direcionando o usuário a um site falso que imita Zoom, Teams ou Google Meet. Em seguida, pedem que o usuário execute comandos no terminal do macOS para “corrigir” problemas de conexão, o que aciona a instalação do malware.
Como o “Mach-O Man” realiza a exfiltração de dados?
De acordo com a análise técnica de Mauro Eldritch, o módulo final macrasv2 coleta credenciais do navegador, cookies e dados do macOS Keychain, empacota as informações e as exfiltra via Telegram Bot API; ao mesmo tempo, os atacantes usam um script de autoexclusão para limpar rastros do sistema.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Exchange polonesa Zondacrypto interrompe operações; clientes perderam $95 milhões, podem buscar indenização do Estado
Mensagem do Gate News, 23 de abril — A exchange polonesa de criptomoedas Zondacrypto encerrou suas operações esta semana em meio a problemas de solvência, com promotores identificando centenas de possíveis vítimas que perderam acesso a pelo menos 350 milhões de zloty poloneses (aproximadamente $95 milhões). Os promotores afirmaram que
GateNews1h atrás
Estudante Chinesa de 19 Anos Traficada para um Esquema de Golpe em Mianmar, Família Paga Resgate de $30K USDT, Mas Vítima Continua Detida
Mensagem do Gate News, 23 de abril — Uma estudante universitária chinesa de 19 anos, do Cantão, foi traficada para uma operação de fraude no Estado de Shan, em Mianmar, depois de ser atraída para a Tailândia em 10 de abril sob o pretexto de participar de um festival de água. Após ser interceptada em Bangcoc, ela foi vendida para uma "
GateNews1h atrás
KelpDAO Avança no Plano de Recuperação e Prioriza a Proteção do Usuário
Mensagem do Gate News, 23 de abril — A KelpDAO anunciou que está ativamente avançando uma solução de recuperação após um recente incidente de segurança, com as discussões evoluindo em uma direção positiva nos últimos dias. O projeto enfatizou seu princípio central de "usuário em primeiro lugar", afirmando que todas as medidas subsequentes
GateNews5h atrás
A Ethereum da Aave Congelada no Meio da Crise de Liquidez do USDC; A Circle Propõe Aumento Emergencial da Taxa para 48%
Mensagem do Gate News, 23 de abril — A plataforma Ethereum da Aave foi congelada por quase quatro dias depois que a utilização do USDC atingiu 99%, bloqueando aproximadamente US$ 1,86 bilhão em fundos dos usuários. O economista-chefe da Circle, Gordon Liao, propôs uma intervenção emergencial de governança para lidar com a crise, marcando uma rara participação direta da Circle na governança de protocolos de terceiros, ra
GateNews5h atrás
Peter Schiff chama a Strategy STRC de esquema Ponzi e critica a falta de eficiência da supervisão da SEC
Críticos do Bitcoin, o apoiador do ouro Peter Schiff publicou em 23 de abril na plataforma X, dizendo que as ações preferenciais perpétuas STRC lançadas pela MicroStrategy (Strategy) são “o mais evidente esquema Ponzi até agora” e criticou a Comissão de Valores Mobiliários dos Estados Unidos (SEC) por não conseguir impedir efetivamente Michael Saylor de promover a STRC.
MarketWhisper6h atrás
China Investment Guarantee Emite Declaração Negando Uso Não Autorizado do Nome em Produtos Financeiros Falsos
Mensagem do Gate News, 23 de abril — A China Investment Guarantee (CITIC Guarantee) emitiu um comunicado em 23 de abril esclarecendo que pessoas não autorizadas fizeram alegações falsas de que a empresa está fazendo parceria com a Nippon Life India Asset Management (Singapore) Pte. Ltd., comumente conhecida como NAMS, e está
GateNews7h atrás
