Il malware Mach-O Man ruba i dati del portachiavi di macOS nell'ambito della campagna di crittovalute del gruppo Lazarus

• Nel mese di aprile 2026, il gruppo nordcoreano Lazarus ha distribuito il malware Mach-O Man prendendo di mira gli utenti macOS che ricoprono ruoli nel settore delle criptovalute e del fintech.
• Il team Quetzal di Bitso ha confermato che il kit compilato in Go consente il furto di credenziali, l'accesso al portachiavi e l'esfiltrazione di dati attraverso quattro fasi.
• Il 22 aprile 2026, i ricercatori di sicurezza hanno esortato le aziende a bloccare le esche ClickFix basate su Terminal e a verificare i LaunchAgent alla ricerca di file che si mascherano da Onedrive.

I ricercatori smascherano un malware nordcoreano per macOS che prende di mira le aziende statunitensi del settore delle criptovalute e del Web3

I ricercatori di sicurezza del Quetzal Team di Bitso, in collaborazione con la piattaforma sandbox ANY.RUN, hanno reso pubblico il kit il 21 aprile 2026, dopo aver analizzato una campagna che hanno denominato "North Korea's Safari". Il team ha collegato il kit ai recenti furti di criptovalute su larga scala di Lazarus, inclusi gli attacchi a KelpDAO e Drift, citando il costante targeting da parte del gruppo di utenti macOS di alto valore che ricoprono ruoli nel Web3 e nel fintech.

Mach-O Man è scritto in Go e compilato come binari Mach-O, rendendolo nativo sia per macchine Intel che Apple Silicon. Il kit si esegue in quattro fasi distinte ed è progettato per raccogliere credenziali del browser, voci del Keychain di macOS e accesso agli account di criptovalute prima di cancellare le proprie tracce.

L'infezione inizia con l'ingegneria sociale, non con un exploit software. Gli aggressori compromettono o si spacciano per account Telegram appartenenti a colleghi nei circoli Web3 e delle criptovalute. Il bersaglio riceve un invito urgente a una riunione su Zoom, Microsoft Teams o Google Meet che rimanda a un sito falso convincente, come update-teams.live o livemicrosft.com.

Il sito falso mostra un errore di connessione simulato e istruisce l'utente a copiare e incollare un comando da Terminale per risolverlo. Questa tecnica, nota come Clickfix e adattata qui per macOS, porta l'utente a eseguire il file stager iniziale, teamsSDK.bin, tramite curl. Poiché l'utente esegue il comando manualmente, Gatekeeper di macOS non lo blocca.

Lo stager scarica un pacchetto di app falso, applica una firma del codice ad hoc per farlo sembrare legittimo e richiede all'utente la password di macOS. La finestra trema ai primi due tentativi e accetta le credenziali al terzo, una scelta di progettazione deliberata per creare una falsa fiducia.

Da lì, secondo il rapporto del ricercatore e altre testimonianze, un binario profiler enumera il nome host della macchina, l'UUID, la CPU, i dettagli del sistema operativo, i processi in esecuzione e le estensioni del browser su Brave, Chrome, Firefox, Safari, Opera e Vivaldi. I ricercatori hanno notato che il profiler contiene un bug di codifica che crea un ciclo infinito, causando picchi evidenti della CPU che possono rivelare un'infezione attiva.

Un modulo di persistenza inserisce quindi un file rinominato chiamato Onedrive in un percorso nascosto all'interno di una cartella denominata "Antivirus Service" e registra un Launchagent chiamato com.onedrive.launcher.plist in modo che venga eseguito automaticamente all'accesso.

Nella fase finale, un binario stealer denominato macrasv2 raccoglie i dati delle estensioni del browser, i database delle credenziali SQLite e gli elementi del Keychain, li comprime in un file zip ed esfiltra il pacchetto tramite l'API del bot di Telegram. I ricercatori hanno trovato il token del bot di Telegram esposto nel binario, che hanno descritto come una grave falla nella sicurezza operativa che potrebbe consentire ai difensori di monitorare o interrompere il canale.

Il Quetzal Team ha pubblicato gli hash SHA-256 per tutti i componenti principali, insieme a indicatori di rete che puntano agli indirizzi IP 172.86.113.102 e 144.172.114.220. I ricercatori di sicurezza hanno osservato che il kit è stato utilizzato da gruppi oltre a Lazarus, suggerendo che lo strumento sia stato condiviso o venduto all'interno dell'ecosistema degli attori della minaccia.

Lazarus, monitorato anche come Famous Chollima dalle aziende di threat intelligence, è stato associato a furti di criptovalute per miliardi di dollari negli ultimi anni. I precedenti strumenti macOS del gruppo includevano Applejeus e Rustbucket. Mach-O Man segue lo stesso profilo di target, abbassando al contempo la barriera tecnica per le compromissioni di macOS.

Si consiglia ai team di sicurezza delle aziende crypto e fintech di controllare le directory di Launchagents, monitorare i processi Onedrive in esecuzione da percorsi di file insoliti e bloccare il traffico in uscita dell'API di Telegram Bot laddove non sia operativamente necessario. Gli utenti non dovrebbero mai incollare comandi del Terminale copiati da pagine web o link a riunioni non richiesti.

Le organizzazioni che gestiscono flotte macOS in ambienti crypto fortemente basati su Apple dovrebbero considerare qualsiasi link di riunione urgente e non richiesto come un potenziale punto di ingresso fino a quando non sia stato verificato tramite un canale di comunicazione separato.