{"id":4175,"date":"2026-04-24T10:06:47","date_gmt":"2026-04-24T13:06:47","guid":{"rendered":"https:\/\/tecmania.com.br\/congresso-virtual-do-crime-hackers-usam-reunioes-falsas-para-atacar-macs-empresariais\/"},"modified":"2026-04-24T10:06:47","modified_gmt":"2026-04-24T13:06:47","slug":"congresso-virtual-do-crime-hackers-usam-reunioes-falsas-para-atacar-macs-empresariais","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/congresso-virtual-do-crime-hackers-usam-reunioes-falsas-para-atacar-macs-empresariais\/","title":{"rendered":"Congresso Virtual do Crime: Hackers Usam Reuni\u00f5es Falsas para Atacar Macs Empresariais"},"content":{"rendered":"

Novo kit “Mach-O Man” utiliza aplicativos falsos para roubar senhas, sess\u00f5es de navegador e dados do Keychain em dispositivos macOS voltados a empresas de fintech e criptomoedas.<\/p>\n

<\/p>\n

\n

O grupo norte-coreano Lazarus Group est\u00e1 realizando uma campanha ativa contra empresas de fintech e criptomoedas por meio de um inovador kit de malware para macOS. Nomeado “Mach-O Man” pela equipe Quetzal Team, esse kit foi encontrado em distribui\u00e7\u00e3o ativa e analisado atrav\u00e9s do sandbox interativo da ANY.RUN.<\/p>\n

A abordagem inicial \u00e9 feita via Telegram. A v\u00edtima recebe um convite de reuni\u00e3o que parece ter sido enviado por um contato familiar \u2013 na realidade, uma conta invasiva utilizada pelos atacantes. O link direciona para um site fraudulento que simula plataformas como Zoom, Microsoft Teams ou Google Meet.<\/p>\n

Mensagens enviadas por membros do Lazarus. Imagem: Equipe Bitso Quetzal.<\/figcaption><\/figure>\n

Site falso induz a instala\u00e7\u00e3o do malware<\/h2>\n

Em vez de explorar falhas de seguran\u00e7a, o golpe utiliza uma t\u00e9cnica chamada ClickFix. O site mostra uma mensagem de erro, alegando um problema de conex\u00e3o e instruindo o usu\u00e1rio a copiar um comando no terminal para solucion\u00e1-lo. Quando esse comando \u00e9 executado, o malware \u00e9 instalado manualmente pela pr\u00f3pria v\u00edtima.<\/p>\n

A efic\u00e1cia desse m\u00e9todo reside na transfer\u00eancia da a\u00e7\u00e3o maliciosa para o usu\u00e1rio, j\u00e1 que muitos sistemas de seguran\u00e7a vigiam comportamentos autom\u00e1ticos, mas n\u00e3o comandos que foram colados e executados manualmente.<\/p>\n

\n
Leia Mais<\/div>\n

Vercel confirma invas\u00e3o ap\u00f3s hacker colocar dados \u00e0 venda por US$ 2 milh\u00f5es<\/p><\/div>\n

Composi\u00e7\u00e3o do kit inclui bin\u00e1rios nativos de macOS<\/h2>\n

O Mach-O Man \u00e9 um conjunto de execut\u00e1veis no formato Mach-O, nativo do macOS, todos programados em Go. A an\u00e1lise t\u00e9cnica revelou quatro etapas distintas na cadeia de infec\u00e7\u00e3o.<\/p>\n

O primeiro componente \u00e9 o stager teamsSDK.bin. Ele baixa um aplicativo macOS falso que simula uma das plataformas suportadas, como Zoom, Teams ou Google Meet.<\/p>\n

Kit completo de malware com seus componentes e variantes. Imagem: ANY.RUN.<\/figcaption><\/figure>\n

Em seguida, utiliza a ferramenta de assinatura de c\u00f3digo do pr\u00f3prio sistema para legitimar o aplicativo no macOS. A op\u00e7\u00e3o Google est\u00e1 inclu\u00edda, mas exibe a mensagem “not yet implemented” quando escolhida.<\/p>\n

Aplicativo falso coleta senhas atrav\u00e9s de falhas de autentica\u00e7\u00e3o<\/h2>\n

Uma vez instalado, o aplicativo falso solicita a senha do usu\u00e1rio tr\u00eas vezes. Nas duas primeiras tentativas, sempre falham, fazendo a janela vibrar como se a senha estivesse errada, mesmo que esteja correta.<\/p>\n

\n
Leia Mais<\/div>\n

Vercel confirma invas\u00e3o ap\u00f3s hacker colocar dados \u00e0 venda por US$ 2 milh\u00f5es<\/p><\/div>\n

Na terceira tentativa, a janela desaparece como se a autentica\u00e7\u00e3o tivesse sido um sucesso. No final, todos os aplicativos mostram o logo do Zoom com uma mensagem de instala\u00e7\u00e3o conclu\u00edda, independentemente da plataforma que estavam imitando.<\/p>\n

O aplicativo falso solicita as credenciais do usu\u00e1rio. Imagem: ANY.RUN.<\/figcaption><\/figure>\n

Paralelamente, o pr\u00f3ximo est\u00e1gio \u00e9 baixado em segundo plano. Esse m\u00f3dulo, conhecido como profiler, emprega ferramentas nativas do macOS para coletar informa\u00e7\u00f5es detalhadas sobre a m\u00e1quina.<\/p>\n

Informa\u00e7\u00f5es como nome do host, tipo de CPU, tempo de inicializa\u00e7\u00e3o, configura\u00e7\u00e3o de rede, processos em execu\u00e7\u00e3o e extens\u00f5es de navegador instaladas, especialmente no Chrome, Firefox, Safari, Brave, Opera e Vivaldi, s\u00e3o enviadas para o servidor de comando e controle (C2) dos atacantes.<\/p>\n

Logotipo do Zoom exibido no aplicativo falso. Imagem: ANY.RUN.<\/figcaption><\/figure>\n

Persist\u00eancia disfar\u00e7ada de servi\u00e7o de antiv\u00edrus<\/h2>\n

O terceiro componente, minst2.bin, assegura a persist\u00eancia do malware. Ele cria uma pasta chamada “Antivirus Service” e configura um LaunchAgent, o equivalente macOS de um servi\u00e7o no Windows. Isso garante que o malware seja reexecutado a cada login do usu\u00e1rio, sobrevivendo a reinicializa\u00e7\u00f5es.<\/p>\n

\n
Leia Mais<\/div>\n

Ap\u00f3s vazamento, Claude Code pode ser usado de gra\u00e7a<\/p><\/div>\n

O componente final \u00e9 o stealer macrasv2, que coleta credenciais armazenadas nos navegadores, cookies de sess\u00e3o, dados do Keychain, onde o sistema armazena senhas, tokens de autentica\u00e7\u00e3o e chaves privadas, al\u00e9m de informa\u00e7\u00f5es de extens\u00f5es de navegador.<\/p>\n

Esses dados s\u00e3o compactados em um arquivo chamado user_ext.zip e enviados pelo Telegram, utilizando a pr\u00f3pria API da plataforma como canal de sa\u00edda. Por \u00faltimo, o script delete_self.sh apaga todos os componentes do malware da m\u00e1quina com o comando rm.<\/p>\n

A maioria dos m\u00f3dulos apresenta falhas ou erros inesperados. Imagem: ANY.RUN.<\/figcaption><\/figure>\n

Bugs e exposi\u00e7\u00e3o do token do bot de exfiltra\u00e7\u00e3o<\/h2>\n

A an\u00e1lise t\u00e9cnica revelou falhas no kit. Um dos m\u00f3dulos entra em loop infinito enviando repetidamente o mesmo arquivo ao servidor C2, consumindo recursos de forma que pode alertar a v\u00edtima. V\u00e1rios componentes apresentam fun\u00e7\u00f5es com erros e comportamentos inesperados, sugerindo que o malware n\u00e3o foi testado adequadamente antes da implanta\u00e7\u00e3o.<\/p>\n

O erro mais cr\u00edtico de seguran\u00e7a foi a exposi\u00e7\u00e3o do token do bot do Telegram, usado para a exfiltra\u00e7\u00e3o. Com esse token acess\u00edvel, um indiv\u00edduo pode ler as mensagens enviadas pelo malware, interagir com o bot e descobrir a identidade do operador.<\/p>\n

\n
Leia Mais<\/div>\n

Ap\u00f3s vazamento, Claude Code pode ser usado de gra\u00e7a<\/p><\/div>\n

A infraestrutura dos atacantes tamb\u00e9m revelou servi\u00e7os como WinRM, Chrome Remote Desktop, RDP e uma c\u00f3pia do servidor C2 funcionando na porta 110.<\/p>\n

Um servi\u00e7o Bash \u00e9 criado para garantir a persist\u00eancia. Imagem: ANY.RUN.<\/figcaption><\/figure>\n

Tr\u00e1fego de rede utiliza portas espec\u00edficas<\/h2>\n

O Mach-O Man emprega bin\u00e1rios nativos de macOS e a pr\u00f3pria API do Telegram para comunica\u00e7\u00e3o, o que diminui a detec\u00e7\u00e3o por solu\u00e7\u00f5es convencionais de EDR (Endpoint Detection and Response).<\/p>\n

O tr\u00e1fego de rede opera nas portas 8888 e 9999, incluindo o User-Agent padr\u00e3o do cliente HTTP do Go (Go-http-client), um indicador \u00fatil para ambientes com monitoramento de rede ativo.<\/p>\n

As equipes de SOC devem priorizar a an\u00e1lise em sandbox com suporte nativo a macOS durante a triagem. Um \u00fanico dispositivo comprometido em um ambiente corporativo pode levar a um acesso irrestrito \u00e0 infraestrutura de produ\u00e7\u00e3o, plataformas SaaS e ativos financeiros.<\/p>\n

\n
Leia Mais<\/div>\n

Manobra hist\u00f3rica! Helic\u00f3ptero militar dos Estados Unidos pousa sozinho<\/p><\/div>\n

Acompanhe o TecMania nas redes sociais. Para mais atualiza\u00e7\u00f5es sobre seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n

\n
<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Novo kit “Mach-O Man” utiliza aplicativos falsos para roubar senhas, sess\u00f5es de navegador e dados do Keychain em dispositivos macOS […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-4175","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/4175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=4175"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/4175\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=4175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=4175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=4175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}