O Chief Information Security Officer (CISO) da empresa MÃog Wu (23pds) publicou um alerta em 22 de abril, afirmando que o grupo de hackers norte-coreano Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS chamado “Mach-O Man”, projetado especificamente para a indústria de criptomoedas e para executivos de alto valor.
Técnicas de ataque e alvos
De acordo com o relatório de análise de Mauro Eldritch, este ataque utiliza a técnica ClickFix: os atacantes enviam links disfarçados de convites legítimos para reuniões via Telegram (usando contas de contatos comprometidas), direcionando as vítimas a um site falso que imita Zoom, Microsoft Teams ou Google Meet, e solicitando que o usuário execute comandos no terminal do macOS para “corrigir” problemas de conexão. Essa operação permite que os atacantes obtenham acesso ao sistema sem disparar medidas de segurança tradicionais.
Os dados-alvo incluem: credenciais e cookies armazenados no navegador, dados do macOS Keychain e dados das extensões de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox e Safari. Os dados roubados são exfiltrados por meio do Telegram Bot API; o relatório indica que os atacantes expuseram o token do bot do Telegram (falha de OPSEC), enfraquecendo a segurança operacional de suas ações.
Os alvos do ataque são principalmente desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas, bem como em ambientes corporativos de alto valor em que o macOS é amplamente utilizado.
Principais componentes do kit “Mach-O Man”
De acordo com a análise técnica de Mauro Eldritch, o kit é composto pelos seguintes módulos principais:
teamsSDK.bin: carregador inicial (inicializador), disfarçado como Teams, Zoom, Google ou aplicativo do sistema, realizando identificação básica de impressão digital do sistema
D1{string aleatória}.bin: analisador do sistema, coleta o nome da máquina, tipo de CPU, informações do sistema operacional e lista de extensões do navegador, e envia essas informações para o servidor C2
minst2.bin: módulo de persistência, cria diretório com disfarce “Antivirus Service” e um LaunchAgent para garantir execução contínua após cada login
macrasv2: coletor final (exfiltrador), coleta credenciais, cookies e entradas do macOS Keychain no navegador; depois empacota, exfiltra via Telegram e se autoelimina
Resumo de indicadores de comprometimento (IOC)
Conforme os IOCs divulgados no relatório de Mauro Eldritch:
IP malicioso: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Domínio malicioso: update-teams[.]live / livemicrosft[.]com
Arquivos-chave (parcial): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Portas de comunicação C2: 8888 e 9999; usa principalmente a string de características do User-Agent do cliente HTTP Go
Valores de hash completos e a matriz ATT&CK estão no relatório de pesquisa original de Mauro Eldritch.
Perguntas frequentes
“Mach-O Man” mira quais setores e alvos?
De acordo com o alerta do MÃog Wu 23pds e a pesquisa da BCA LTD, o “Mach-O Man” mira principalmente o setor de fintech e criptomoedas, além de ambientes corporativos de alto valor em que o macOS é amplamente utilizado, especialmente os grupos de desenvolvedores, executivos e tomadores de decisão.
Como os atacantes induzem usuários de macOS a executarem comandos maliciosos?
De acordo com a análise de Mauro Eldritch, os atacantes enviam via Telegram links disfarçados de convites legítimos para reuniões, direcionando o usuário a um site falso que imita Zoom, Teams ou Google Meet. Em seguida, pedem que o usuário execute comandos no terminal do macOS para “corrigir” problemas de conexão, o que aciona a instalação do malware.
Como o “Mach-O Man” realiza a exfiltração de dados?
De acordo com a análise técnica de Mauro Eldritch, o módulo final macrasv2 coleta credenciais do navegador, cookies e dados do macOS Keychain, empacota as informações e as exfiltra via Telegram Bot API; ao mesmo tempo, os atacantes usam um script de autoexclusão para limpar rastros do sistema.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Scallop Descobre Vulnerabilidade no Pool de Recompensas de sSUI, Sofre Perda de 150K SUI, mas se Compromete com o Reembolso Integral
Mensagem do Gate News, 26 de abril — A Scallop, um protocolo de empréstimos no ecossistema Sui, anunciou a descoberta de uma vulnerabilidade em um contrato auxiliar associado ao seu pool de recompensas sSUI, resultando em uma perda de aproximadamente 150.000 SUI. O contrato afetado foi congelado, e a Scallop confirmou
GateNews19m atrás
Litecoin passa por profunda reorganização de cadeia após exploração da camada de privacidade do MWEB
Mensagem do Gate News, 26 de abril — O Litecoin passou por uma profunda reorganização de cadeia (reorg) no sábado depois que atacantes exploraram uma vulnerabilidade de zero-day em sua camada de privacidade do MimbleWimble Extension Block (MWEB), anunciou a Litecoin Foundation. A reorganização abrangeu os blocos 3,095,930 a 3,095,943 e
GateNews1h atrás
Litecoin vê pela primeira vez camada de privacidade comprometida por ataque: vulnerabilidade de dia zero em MWEB aciona reorganização da cadeia em 13 blocos
De acordo com o The Block, a Fundação Litecoin confirmou que a camada de privacidade MWEB foi atingida por uma vulnerabilidade de dia zero; o atacante usou nós desatualizados para fazer com que transações MWEB forjadas fossem consideradas válidas, causando rollback da cadeia principal de 13 blocos (cerca de 3 horas) e realizando double-spend em exchanges de transações cross-chain; NEAR Intents expôs cerca de US$ 600 mil, e o pool de mineração também sofreu DoS. Uma versão corrigida já foi publicada; faça upgrade imediatamente; os saldos da cadeia principal não são afetados, mas isso destaca o trade-off da camada de privacidade entre reduzir a observabilidade e aumentar a dificuldade de detecção.
ChainNewsAbmedia3h atrás
Aave, Kelp, LayerZero Seek $71M Liberação de ETH congelado do Arbitrum DAO
Aave Labs, Kelp DAO, LayerZero, EtherFi e Compound protocolaram um AIP Constitucional no fórum do Arbitrum na manhã de sábado, solicitando que a DAO da rede libere aproximadamente $71 milhão em ETH congelado para apoiar os esforços de recuperação do rsETH após o exploit da Kelp DAO de aproximadamente $292 milhão da semana passada. A proposta
CryptoFrontier4h atrás
Litecoin Sofre Reorganização Profunda de Cadeia Após Exploit Zero-Day de MWEB, Apagando Três Horas de História
Mensagem do Gate News, 26 de abril — a Litecoin passou por uma profunda reorganização de cadeia (reorg) no sábado depois que atacantes exploraram uma vulnerabilidade zero-day no seu bloco de extensão de privacidade MimbleWimble (MWEB), segundo a Litecoin Foundation. O bug permitiu que nós de mineração com software antigo validassem uma transação inválida de MWEB, permitindo que atacantes resgatassem LTC da extensão de privacidade e direcionassem as moedas para exchanges descentralizadas de terceiros. Grandes pools de mineração foram atingidos simultaneamente por ataques de negação de serviço ligados à mesma falha.
GateNews10h atrás
A insider da Apecoin transforma $174K em US$ 2,45M em um dia com trade de 14x dos dois lados de um aumento de 80%
Uma carteira anônima, sem histórico de negociações anterior, transformou US$ 174.000 em ether em US$ 2,45 milhões ao negociar Apecoin dos dois lados de um aumento de preço de 80% em um único dia.
Principais conclusões:
A carteira 0x0b8a converteu US$ 174.000 em ETH em um Apecoin long alavancado, saindo perto do topo por um valor de US$ 1,79M
Coinpedia10h atrás
