El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Los hackers de Corea del Norte atacan a los usuarios de Mac
Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.
El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
Los hackers de Corea del Norte atacan a los usuarios de Mac
Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.
El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
El grupo norcoreano Lazarus ha lanzado un malware avanzado dirigido a dispositivos macOS. Mach-O Man, como se le conoce, está diseñado para atacar a empresas de criptomonedas, organizaciones de tecnología financiera y altos ejecutivos que utilizan Macs para transacciones financieras.
El ataque sedentpor primera vez a mediados de abril de 2026. Utiliza aplicaciones populares para el entorno laboral, como Zoom, Microsoft Teams y Google Meet, para lanzar ataques de ingeniería social.
Los hackers de Corea del Norte atacan a los usuarios de Mac
Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.
El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
El grupo norcoreano Lazarus ha lanzado un malware avanzado dirigido a dispositivos macOS. Mach-O Man, como se le conoce, está diseñado para atacar a empresas de criptomonedas, organizaciones de tecnología financiera y altos ejecutivos que utilizan Macs para transacciones financieras.
El ataque sedentpor primera vez a mediados de abril de 2026. Utiliza aplicaciones populares para el entorno laboral, como Zoom, Microsoft Teams y Google Meet, para lanzar ataques de ingeniería social.
Los hackers de Corea del Norte atacan a los usuarios de Mac
Según se informa, este ataque se aprovecha de la confianza que los empleados depositan en sus herramientas de comunicación habituales, como Zoom, Microsoft Teams y Google Meet. Esto ha convertido la colaboración cotidiana en una vía para ataques a nivel de sistema.
El primer paso consiste en una de ingeniería social a través de Telegram. Esta trampa atrae a la víctima —desarrolladores, ejecutivos y responsables de la toma de decisiones en el sector fintech y de las criptomonedas— a una invitación urgente a una reunión enviada desde la cuenta comprometida de un colega.
Al hacer clic en el enlace, se accede a una página web aparentemente auténtica que simula un mensaje de error al intentar conectarse a Zoom, Teams o Meet. A continuación, el sitio web solicita a la víctima que copie y pegue una línea de código aparentemente inofensiva en la Terminal de su Mac para "resolver" el problema.
De este modo, la víctima puede eludir los mecanismos de seguridad de macOS, como Gatekeeper, ya que el ataque se origina en la propia víctima.
Al ejecutarse, el código instala un archivo binario llamado teamsSDK.bin.
El programa malicioso descarga el paquete de la aplicación falsa de macOS y lo firma digitalmente con la herramienta de firma de código nativa mediante una firma ad hoc. A continuación, solicita repetidamente la contraseña a la víctima, mostrando mensajes mal traducidos que parecen auténticos.
Tras completar el proceso de instalación fraudulenta, el atacante inicia la identificación del sistema, la configuración de persistencia y la instalación de la carga útil.
A diferencia de otras técnicas que implican exploits complejos, esta no. Esto la hace muy efectiva contra objetivos valiosos que podrían estar gestionando varias llamadas simultáneas mientras copian comandos sin verificarlos.
Dentro del malware Mach-O Man
El malware “Mach-O Man” utiliza múltiples etapas, cada una con binarios Mach-O compilados en Go. El malware contiene un módulo de perfilado que recopila información del sistema, incluyendo el nombre de host, UUID, información de la CPU, configuración de red y procesos en ejecución
Cuenta con extensiones para los navegadores Chrome, Firefox, Safari, Brave, Opera y Vivaldi. La información se transmite al servidor de comando y control mediante sencillas solicitudes POST con curl en los puertos 8888 y 9999.
El módulo persistente minst2.bin instala un archivo plist LaunchAgent (com.onedrive.launcher.plist), que garantiza que el malware se ejecute cada vez que el usuario inicie sesión haciéndose pasar por un proceso legítimo llamado "OneDrive" o "Servicio antivirus"
Macrasv2, la última carga útil responsable del robo de datos del sistema, recopila información de los datos de inicio de sesión del navegador y las cookies encontradas en bases de datos SQLite, así como entradas confidenciales del llavero. Todos los datos recopilados se comprimen y se envían a través de la API del bot de Telegram, cuyo token quedó expuesto.
El devastador legado de Lazarus Group en el mundo de las criptomonedas y la tecnología estadounidense
El lanzamiento de “Mach-O Man” se enmarca dentro de los esfuerzos a largo plazo de Lazarus Group para llevar a cabo ciberataques con fines lucrativos. Estos ataques han provocado enormes pérdidas en el mundo de las criptomonedas, especialmente para las empresas con sede en Estados Unidos.
Se ha identificado a este grupo dent involucrado en algunos de los mayores robos en la historia de las criptomonedas, como el robo de 625 millones de dólares a Ronin Network (Axie Infinity), el robo de 1.500 millones de dólares a Bybit, el robo de 308 millones de dólares a DMM Bitcoin , el robo de 292 millones de dólares a KelpDAO , el robo de 285 millones de dólares a Drift y el robo de 235 millones de dólares a WazirX.
