O director de segurança de informação da Mawang, 23pds, publicou um aviso em 22 de abril, afirmando que a organização de hackers norte-coreana Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS, “Mach-O Man”, especializado no sector das criptomoedas e em quadros executivos de empresas de elevado valor.
Técnicas de ataque e alvos
De acordo com o relatório de análise de Mauro Eldritch, este ataque utiliza a técnica ClickFix: os atacantes enviam, via Telegram (utilizando contas de contactos já comprometidas), ligações disfarçadas como convites legítimos para reuniões, levando o alvo a um site falso que imita Zoom, Microsoft Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “resolver” problemas de ligação. Esta operação permite ao atacante obter acesso ao sistema sem despoletar as medidas de controlo de segurança tradicionais.
Os dados-alvo incluem: credenciais e cookies guardados no navegador, dados do macOS Keychain, e dados das extensões de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox e Safari. Os dados exfiltrados são divulgados através da Telegram Bot API; o relatório indica que os atacantes expuseram tokens de bots do Telegram (falha de OPSEC), enfraquecendo a sua segurança operacional.
Os alvos do ataque são principalmente programadores, executivos e decisores em ambientes empresariais de elevado valor, nomeadamente nas áreas de fintech e criptomoedas, bem como em ambientes em que o macOS é amplamente utilizado.
Principais componentes do kit Mach-O Man
De acordo com a análise técnica de Mauro Eldritch, o kit é composto pelos seguintes módulos principais:
teamsSDK.bin: injetor inicial, disfarçado como Teams, Zoom, Google ou aplicação do sistema, executa reconhecimento básico de impressão digital do sistema
D1{cadeia_aleatória}.bin: analisador do sistema, recolhe o nome do anfitrião, tipo de CPU, informação do sistema operativo e a lista de extensões do navegador e envia para o servidor C2
minst2.bin: módulo de persistência, cria o diretório disfarçado “Antivirus Service” e um LaunchAgent para garantir execução contínua após cada início de sessão
macrasv2: analisador final (roubo), recolhe credenciais do navegador, cookies e entradas do macOS Keychain, empacota os dados, exfiltra-os via Telegram e elimina-se a si próprio
Resumo dos indicadores de comprometimento (IOC) críticos
De acordo com os IOCs publicados no relatório de Mauro Eldritch:
IP malicioso: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
domínio malicioso: update-teams[.]live / livemicrosft[.]com
ficheiros críticos (parte): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
porta de comunicação C2: 8888 e 9999; utiliza principalmente a cadeia de caraterísticas User-Agent do cliente Go HTTP
O valor hash completo e a matriz ATT&CK encontram-se no relatório de investigação original de Mauro Eldritch.
Perguntas frequentes
“Mach-O Man” a que indústrias e objetivos se destina?
De acordo com o aviso da Mawang 23pds e com a investigação da BCA LTD, o “Mach-O Man” visa principalmente o sector de fintech e criptomoedas, bem como ambientes empresariais de elevado valor em que o macOS é amplamente utilizado, especialmente o grupo de programadores, executivos e decisores.
Como é que os atacantes induzem os utilizadores de macOS a executarem comandos maliciosos?
De acordo com a análise de Mauro Eldritch, os atacantes enviam via Telegram ligações disfarçadas como convites legítimos para reuniões, conduzindo os utilizadores a um site falso que imita Zoom, Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “corrigir” problemas de ligação, desencadeando assim a instalação do malware.
Como é que o “Mach-O Man” implementa a exfiltração de dados?
De acordo com a análise técnica de Mauro Eldritch, o módulo final macrasv2 recolhe credenciais do navegador, cookies e dados do macOS Keychain, empacota-os e exfiltra-os via Telegram Bot API; em simultâneo, os atacantes utilizam um script de eliminação automática para limpar vestígios do sistema.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Litecoin passa por uma profunda reorganização em cadeia para reverter o exploit da camada de privacidade MWEB
Mensagem de Notícias da Gate, 26 de abril — A Litecoin registou uma profunda reorganização em cadeia (reorg) no sábado, depois de atacantes terem explorado uma vulnerabilidade zero-day na sua camada de privacidade MimbleWimble Extension Block (MWEB), segundo
GateNews42m atrás
Apecoin Insider Transforma $174K em 2,45M$ num Só Dia com 14x Negócios dos Dois Lados de um Rali de 80%
Uma carteira anónima, sem historial de negociação prévio, transformou $174,000 em éter ($ETH) em $2,45 milhões ao negociar Apecoin em ambos os lados de um aumento de preço de 80% num único dia.
Principais conclusões:
A carteira 0x0b8a converteu $174,000 em ETH para uma compra alavancada de Apecoin (long), saindo perto do topo para um resultado de $1,79M
Coinpedia1h atrás
Polícia de Hong Kong Desmantela Rede de Fraude Transfronteiriça que Visava Estudantes no Estrangeiro, Apreendendo HK$5M em Ativos
Mensagem da Gate News, 26 de abril — A polícia de Hong Kong desmantelou uma rede de fraude transfronteiriça que visava estudantes chineses no estrangeiro que estudavam fora do país, de acordo com a comunicação social local. A organização criminosa fingiu ser funcionários da aplicação da lei e coagiu as vítimas a deslocarem-se a Hong Kong para comprar barras de ouro como "c
GateNews1h atrás
Reorganização do Litecoin anula exploração da camada de privacidade MWEB
O Litecoin passou por uma profunda reorganização da cadeia no sábado, após os atacantes terem explorado uma vulnerabilidade zero-day na sua camada de privacidade (MWEB) MimbleWimble Extension Block, de acordo com a Litecoin Foundation. O incidente resultou numa reorganização de três horas que apagou transacções inválidas de
CryptoFrontier7h atrás
Fraude com Laptop Farm por programadores de TI da Coreia do Norte: cúmplice dos EUA condenado a 7-9 anos, e ao longo de dois anos arrecadou 2,8 mil milhões de dólares
Relatório da Fortune: a Coreia do Norte, através de quintas de laptops nos EUA, obteve cerca de 2,8 mil milhões de USD de receitas acumuladas em dois anos para apoiar armas nucleares; contribui anualmente 250 a 600 milhões de USD. O arguido de nacionalidade norte-americana Kejia Wang e Zhenxing Wang foram condenados, respetivamente, a 7,5 anos e 9 anos, estando implicados em mais de cem empresas e na usurpação de identidade de 80 pessoas. A Coreia do Norte opera nos EUA com identidades norte-americanas e dispositivos fixos, e os fundos são maioritariamente convertidos por criptomoeda. Especialistas alertam que a rede de cúmplices no país ainda existe, e que as empresas devem reforçar a verificação de identidade, o rastreio de endereços e a análise de fuso horário/IP.
ChainNewsAbmedia10h atrás
Polícia de Hong Kong alerta para um aumento nos golpes de cripto; Duas mulheres perdem US$1,24M nas últimas semanas
Mensagem do Gate News, 25 de abril — Duas mulheres de Hong Kong perderam, no total, HK$9,7 milhões (US$1,24 milhão) para golpistas de cripto ao longo das últimas semanas, levando a polícia local a emitir um aviso público. A polícia de Hong Kong comunicou mais de 80 casos de fraude numa única semana, com perdas totais superiores a HK$80 milhão (U
GateNews10h atrás
