Novo kit “Mach-O Man” utiliza aplicativos falsos para roubar senhas, sessões de navegador e dados do Keychain em dispositivos macOS voltados a empresas de fintech e criptomoedas.
O grupo norte-coreano Lazarus Group está realizando uma campanha ativa contra empresas de fintech e criptomoedas por meio de um inovador kit de malware para macOS. Nomeado “Mach-O Man” pela equipe Quetzal Team, esse kit foi encontrado em distribuição ativa e analisado através do sandbox interativo da ANY.RUN.
A abordagem inicial é feita via Telegram. A vítima recebe um convite de reunião que parece ter sido enviado por um contato familiar – na realidade, uma conta invasiva utilizada pelos atacantes. O link direciona para um site fraudulento que simula plataformas como Zoom, Microsoft Teams ou Google Meet.
Site falso induz a instalação do malware
Em vez de explorar falhas de segurança, o golpe utiliza uma técnica chamada ClickFix. O site mostra uma mensagem de erro, alegando um problema de conexão e instruindo o usuário a copiar um comando no terminal para solucioná-lo. Quando esse comando é executado, o malware é instalado manualmente pela própria vítima.
A eficácia desse método reside na transferência da ação maliciosa para o usuário, já que muitos sistemas de segurança vigiam comportamentos automáticos, mas não comandos que foram colados e executados manualmente.
Vercel confirma invasão após hacker colocar dados à venda por US$ 2 milhões
Composição do kit inclui binários nativos de macOS
O Mach-O Man é um conjunto de executáveis no formato Mach-O, nativo do macOS, todos programados em Go. A análise técnica revelou quatro etapas distintas na cadeia de infecção.
O primeiro componente é o stager teamsSDK.bin. Ele baixa um aplicativo macOS falso que simula uma das plataformas suportadas, como Zoom, Teams ou Google Meet.
Em seguida, utiliza a ferramenta de assinatura de código do próprio sistema para legitimar o aplicativo no macOS. A opção Google está incluída, mas exibe a mensagem “not yet implemented” quando escolhida.
Aplicativo falso coleta senhas através de falhas de autenticação
Uma vez instalado, o aplicativo falso solicita a senha do usuário três vezes. Nas duas primeiras tentativas, sempre falham, fazendo a janela vibrar como se a senha estivesse errada, mesmo que esteja correta.
Vercel confirma invasão após hacker colocar dados à venda por US$ 2 milhões
Na terceira tentativa, a janela desaparece como se a autenticação tivesse sido um sucesso. No final, todos os aplicativos mostram o logo do Zoom com uma mensagem de instalação concluída, independentemente da plataforma que estavam imitando.
Paralelamente, o próximo estágio é baixado em segundo plano. Esse módulo, conhecido como profiler, emprega ferramentas nativas do macOS para coletar informações detalhadas sobre a máquina.
Informações como nome do host, tipo de CPU, tempo de inicialização, configuração de rede, processos em execução e extensões de navegador instaladas, especialmente no Chrome, Firefox, Safari, Brave, Opera e Vivaldi, são enviadas para o servidor de comando e controle (C2) dos atacantes.
Persistência disfarçada de serviço de antivírus
O terceiro componente, minst2.bin, assegura a persistência do malware. Ele cria uma pasta chamada “Antivirus Service” e configura um LaunchAgent, o equivalente macOS de um serviço no Windows. Isso garante que o malware seja reexecutado a cada login do usuário, sobrevivendo a reinicializações.
Após vazamento, Claude Code pode ser usado de graça
O componente final é o stealer macrasv2, que coleta credenciais armazenadas nos navegadores, cookies de sessão, dados do Keychain, onde o sistema armazena senhas, tokens de autenticação e chaves privadas, além de informações de extensões de navegador.
Esses dados são compactados em um arquivo chamado user_ext.zip e enviados pelo Telegram, utilizando a própria API da plataforma como canal de saída. Por último, o script delete_self.sh apaga todos os componentes do malware da máquina com o comando rm.
Bugs e exposição do token do bot de exfiltração
A análise técnica revelou falhas no kit. Um dos módulos entra em loop infinito enviando repetidamente o mesmo arquivo ao servidor C2, consumindo recursos de forma que pode alertar a vítima. Vários componentes apresentam funções com erros e comportamentos inesperados, sugerindo que o malware não foi testado adequadamente antes da implantação.
O erro mais crítico de segurança foi a exposição do token do bot do Telegram, usado para a exfiltração. Com esse token acessível, um indivíduo pode ler as mensagens enviadas pelo malware, interagir com o bot e descobrir a identidade do operador.
Após vazamento, Claude Code pode ser usado de graça
A infraestrutura dos atacantes também revelou serviços como WinRM, Chrome Remote Desktop, RDP e uma cópia do servidor C2 funcionando na porta 110.
Tráfego de rede utiliza portas específicas
O Mach-O Man emprega binários nativos de macOS e a própria API do Telegram para comunicação, o que diminui a detecção por soluções convencionais de EDR (Endpoint Detection and Response).
O tráfego de rede opera nas portas 8888 e 9999, incluindo o User-Agent padrão do cliente HTTP do Go (Go-http-client), um indicador útil para ambientes com monitoramento de rede ativo.
As equipes de SOC devem priorizar a análise em sandbox com suporte nativo a macOS durante a triagem. Um único dispositivo comprometido em um ambiente corporativo pode levar a um acesso irrestrito à infraestrutura de produção, plataformas SaaS e ativos financeiros.
Manobra histórica! Helicóptero militar dos Estados Unidos pousa sozinho
Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.