O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.
O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
O grupo norte-coreano Lazarus lançou um malware avançado direcionado a dispositivos macOS. O Mach-O Man, como é chamado, foi projetado para atacar empresas de criptomoedas, organizações de tecnologia financeira e executivos importantes que usam Macs para transações financeiras.
O ataque foidentpela primeira vez em meados de abril de 2026. Ele utiliza aplicativos populares de ambiente de trabalho, como Zoom, Microsoft Teams e Google Meet, para lançar ataques de engenharia social.
Hackers norte-coreanos atacam usuários de Mac
Conforme relatado, esse ataque explora a confiança que os funcionários depositam em suas ferramentas de comunicação habituais, como Zoom, Microsoft Teams e Google Meet. Isso transformou a colaboração cotidiana em uma via para ataques em nível de sistema.
de engenharia social cuidadosamente elaborada através do Telegram. Isso atrai a vítima – desenvolvedores, executivos e tomadores de decisão no setor de fintech e criptomoedas – para um convite urgente para uma reunião feito pela conta de um colega comprometido.
Clicar no link leva a uma página da web aparentemente autêntica que simula uma mensagem de erro ao tentar conectar-se ao Zoom, Teams ou Meet. O site então pede à vítima que copie e cole uma linha de código aparentemente inofensiva no Terminal do Mac para "resolver" o problema.
Ao fazer isso, a vítima pode contornar os mecanismos de segurança do macOS, como o Gatekeeper, já que o ataque se origina da própria vítima.
Ao ser executado, o código instala um arquivo binário chamado teamsSDK.bin.
O invasor baixa o pacote falso do aplicativo macOS e o assina digitalmente com a ferramenta nativa de assinatura de código, usando uma assinatura ad hoc. Em seguida, ele solicita repetidamente a senha da vítima, exibindo mensagens mal traduzidas que parecem autênticas.
Após concluir o processo de instalação falsa, o invasor inicia a coleta de informações do sistema, a configuração de persistência e a instalação do payload.
Ao contrário de outras técnicas que envolvem explorações complexas, esta não. Isso a torna muito eficaz em alvos valiosos que podem estar gerenciando várias chamadas simultâneas enquanto copiam comandos sem verificá-los.
Dentro do malware Mach-O Man
O malware “Mach-O Man” utiliza múltiplas etapas, cada uma com binários Mach-O compilados em Go. O malware contém um módulo de perfilamento que coleta informações do sistema, incluindo o nome do host, UUID, informações da CPU, configuração de rede e processos em execução
Possui extensões para os navegadores Chrome, Firefox, Safari, Brave, Opera e Vivaldi. As informações são transmitidas para o servidor de comando e controle por meio de simples requisições POST com o comando curl nas portas 8888 e 9999.
O módulo persistente minst2.bin instala um arquivo plist LaunchAgent (com.onedrive.launcher.plist), que garante que o malware seja executado sempre que o usuário fizer login, fingindo ser um processo legítimo chamado "OneDrive" ou "Serviço Antivírus"
O Macrasv2, o último payload responsável por roubar dados do sistema, coleta informações de logins de navegadores e cookies encontrados em bancos de dados SQLite, bem como entradas confidenciais do Keychain. Todos os dados coletados são então compactados e enviados através da API do bot do Telegram, cujo token foi exposto.
O legado devastador do Lazarus Group no mundo das criptomoedas e da tecnologia nos EUA
O lançamento do “Mach-O Man” está alinhado com os esforços de longa data do Lazarus Group para realizar ciberataques com o objetivo de obter ganhos financeiros. Esses ataques resultaram em enormes prejuízos para o mundo das criptomoedas, especialmente para as empresas sediadas nos Estados Unidos.
Este grupo foi dent como envolvido em alguns dos maiores roubos da história das criptomoedas, como o roubo de US$ 625 milhões da Ronin Network (Axie Infinity), o roubo de US$ 1,5 bilhão da Bybit, o roubo de US$ 308 milhões da DMM Bitcoin , o roubo de US$ 292 milhões da KelpDAO , o roubo de US$ 285 milhões da Drift e o roubo de US$ 235 milhões da WazirX.
