As melhores informações sobre criptomoedas direto na sua caixa de entrada.
O grupo norte-coreano Lazarus tem como alvo empresas de criptomoedas e executivos de alto escalão com o kit de malware para macOS "Mach-O Man"
- O grupo norte-coreano Lazarus lançou o "Mach-O Man", um sofisticado kit de malware direcionado a usuários de macOS nos setores de criptomoedas e fintech.
- O malware roubadentdo navegador, cookies, dados do chaveiro e informações do sistema.
- Essa tecnologia amplia o alcance do Lazarus Group a executivos e desenvolvedores de alto nível que lidam com carteiras e chaves críticas em dispositivos Apple.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
O primeiro passo é uma armadilha de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
O primeiro passo é uma armadilha de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.
O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
O primeiro passo é uma armadilha de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.
O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
O primeiro passo é uma armadilha de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foidentcomo envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin, o roubo de US$ 292 milhões da KelpDAO, o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Florença Muchai
Florence tem se dedicado à cobertura de notícias sobre criptomoedas, jogos, tecnologia e inteligência artificial nos últimos 6 anos. Seus estudos em Ciência da Computação pela Universidade de Ciência e Tecnologia de Meru e em Gestão de Desastres e Diplomacia Internacional pela MMUST (Universidade de Ciência e Tecnologia de Meru) lhe proporcionaram ampla experiência em idiomas, observação e habilidades técnicas. Florence trabalhou no VAP Group e como editora para diversos veículos de mídia especializados em criptomoedas.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)