El malware Mach-O Man roba datos del llavero de macOS en una campaña de criptomonedas del grupo Lazarus

• El Grupo Lazarus de Corea del Norte desplegó el malware Mach-O Man dirigido a usuarios de macOS que desempeñan funciones en el sector de las criptomonedas y la tecnología financiera en abril de 2026.
• El equipo Quetzal de Bitso confirmó que el kit compilado en Go permite el robo de credenciales, el acceso al llavero y la exfiltración de datos a través de cuatro etapas.
• Los investigadores de seguridad instaron a las empresas el 22 de abril de 2026 a bloquear los señuelos ClickFix basados en Terminal y a auditar LaunchAgents en busca de archivos que se hagan pasar por Onedrive.

Investigadores sacan a la luz un malware norcoreano para macOS dirigido a empresas estadounidenses de criptomonedas y Web3

Los investigadores de seguridad del equipo Quetzal de Bitso, en colaboración con la plataforma de sandbox ANY.RUN, revelaron públicamente el kit el 21 de abril de 2026, tras analizar una campaña a la que denominaron «Safari de Corea del Norte». El equipo relacionó el kit con los recientes robos de criptomonedas a gran escala de Lazarus, incluidos los ataques a KelpDAO y Drift, citando el constante enfoque del grupo hacia usuarios de macOS de alto valor que desempeñan funciones en Web3 y fintech.

Mach-O Man está escrito en Go y compilado como binarios Mach-O, lo que lo hace nativo tanto para máquinas Intel como para Apple Silicon. El kit se ejecuta en cuatro etapas distintas y está diseñado para recopilar credenciales del navegador, entradas del llavero de macOS y acceso a cuentas de criptomonedas antes de borrar sus propios rastros.

La infección comienza con ingeniería social, no con un exploit de software. Los atacantes comprometen o suplantan cuentas de Telegram pertenecientes a colegas de los círculos de Web3 y criptomonedas. La víctima recibe una invitación urgente a una reunión por Zoom, Microsoft Teams o Google Meet que enlaza con un sitio falso convincente, como update-teams.live o livemicrosft.com.

El sitio falso muestra un error de conexión simulado e indica al usuario que copie y pegue un comando de Terminal para resolverlo. Esta técnica, conocida como Clickfix y adaptada aquí para macOS, lleva al usuario a ejecutar el archivo stager inicial, teamsSDK.bin, a través de curl. Como el usuario ejecuta el comando manualmente, Gatekeeper de macOS no lo bloquea.

El stager descarga un paquete de aplicación falso, aplica una firma de código ad hoc para que parezca legítimo y solicita al usuario su contraseña de macOS. La ventana tiembla en los dos primeros intentos y acepta la credencial en el tercero, una elección de diseño deliberada para generar una falsa confianza.

A partir de ahí, el informe del investigador y otros relatos indican que un binario de perfilado enumera el nombre de host de la máquina, el UUID, la CPU, los detalles del sistema operativo, los procesos en ejecución y las extensiones de navegador en Brave, Chrome, Firefox, Safari, Opera y Vivaldi. Los investigadores señalaron que el perfilador contiene un error de codificación que crea un bucle infinito, lo que provoca picos notables en la CPU que pueden delatar una infección activa.

A continuación, un módulo de persistencia coloca un archivo renombrado llamado Onedrive en una ruta oculta dentro de una carpeta denominada «Antivirus Service» y registra un Launchagent llamado com.onedrive.launcher.plist para que se ejecute automáticamente al iniciar sesión.

En la etapa final, un binario de robo de datos denominado macrasv2 recopila datos de extensiones del navegador, bases de datos de credenciales SQLite y elementos del llavero, los comprime en un archivo zip y exfiltra el paquete a través de la API del bot de Telegram. Los investigadores encontraron el token del bot de Telegram expuesto en el binario, lo que describieron como un grave fallo de seguridad operativa que podría permitir a los defensores supervisar o interrumpir el canal.

El equipo Quetzal publicó los hash SHA-256 de todos los componentes principales, junto con indicadores de red que apuntaban a las direcciones IP 172.86.113.102 y 144.172.114.220. Los investigadores de seguridad señalaron que se ha observado el uso del kit por parte de grupos ajenos a Lazarus, lo que sugiere que las herramientas se han compartido o vendido dentro del ecosistema de actores maliciosos.

Lazarus, también conocido como Famous Chollima por las empresas de inteligencia de amenazas, ha sido responsable de robos de criptomonedas por valor de miles de millones de dólares en los últimos años. Las herramientas anteriores del grupo para macOS incluían Applejeus y Rustbucket. Mach-O Man sigue el mismo perfil de objetivos, al tiempo que reduce la barrera técnica para comprometer sistemas macOS.

Se recomienda a los equipos de seguridad de las empresas de criptomonedas y fintech que auditen los directorios de Launchagents, supervisen los procesos de OneDrive que se ejecutan desde rutas de archivo inusuales y bloqueen el tráfico saliente de la API de Telegram Bot cuando no sea necesario desde el punto de vista operativo. Los usuarios nunca deben pegar comandos de Terminal copiados de páginas web o enlaces de reuniones no solicitados.

Las organizaciones que utilicen flotas de macOS en entornos criptográficos con gran presencia de Apple deben tratar cualquier enlace de reunión urgente y no solicitado como un posible punto de entrada hasta que se verifique a través de un canal de comunicación independiente.