O malware Mach-O Man rouba dados do Keychain do macOS em campanha de criptomoedas do Grupo Lazarus

Pontos principais:

• O Grupo Lazarus, da Coreia do Norte, lançou o malware Mach-O Man visando usuários do macOS que atuam nas áreas de criptomoedas e fintech em abril de 2026.
• A equipe Quetzal da Bitso confirmou que o kit compilado em Go permite o roubo de credenciais, o acesso ao Keychain e a exfiltração de dados em quatro etapas.
• Pesquisadores de segurança alertaram as empresas, em 22 de abril de 2026, para bloquear iscas ClickFix baseadas no Terminal e auditar o LaunchAgents em busca de arquivos que se passam pelo Onedrive.

Pesquisadores expõem malware norte-coreano para macOS que tem como alvo empresas de criptomoedas e Web3 dos EUA

Pesquisadores de segurança da Equipe Quetzal da Bitso, trabalhando em conjunto com a plataforma de sandbox ANY.RUN, divulgaram publicamente o kit em 21 de abril de 2026, após analisar uma campanha que batizaram de “Safari da Coreia do Norte”. A equipe relacionou o kit aos recentes roubos de criptomoedas em grande escala do Lazarus, incluindo ataques à KelpDAO e à Drift, citando o foco consistente do grupo em usuários de macOS de alto valor que atuam nas áreas de Web3 e fintech.

O Mach-O Man é escrito em Go e compilado como binários Mach-O, tornando-o nativo tanto para máquinas Intel quanto para Apple Silicon. O kit é executado em quatro etapas distintas e foi projetado para coletar credenciais de navegador, entradas do Keychain do macOS e acesso a contas de criptomoedas antes de apagar seus próprios rastros.

A infecção começa com engenharia social, não com uma exploração de software. Os invasores comprometem ou se passam por contas do Telegram pertencentes a colegas nos círculos Web3 e de criptomoedas. O alvo recebe um convite urgente para uma reunião no Zoom, Microsoft Teams ou Google Meet que leva a um site falso convincente, como update-teams.live ou livemicrosft.com.

O site falso exibe um erro de conexão simulado e instrui o usuário a copiar e colar um comando do Terminal para resolvê-lo. Essa técnica, conhecida como Clickfix e adaptada aqui para o macOS, leva o usuário a executar o arquivo inicializador, teamsSDK.bin, via curl. Como o usuário executa o comando manualmente, o Gatekeeper do macOS não o bloqueia.

O stager baixa um pacote de aplicativo falso, aplica assinatura de código ad hoc para fazê-lo parecer legítimo e solicita ao usuário sua senha do macOS. A janela treme nas duas primeiras tentativas e aceita a credencial na terceira, uma escolha de design deliberada para criar falsa confiança.

A partir daí, o relatório do pesquisador e outros relatos indicam que um binário de perfilador enumera o nome do host da máquina, o UUID, a CPU, detalhes do sistema operacional, processos em execução e extensões de navegador no Brave, Chrome, Firefox, Safari, Opera e Vivaldi. Os pesquisadores observaram que o perfilador contém um bug de codificação que cria um loop infinito, causando picos perceptíveis na CPU que podem expor uma infecção ativa.

Um módulo de persistência então coloca um arquivo renomeado chamado Onedrive em um caminho oculto dentro de uma pasta chamada “Antivirus Service” e registra um Launchagent chamado com.onedrive.launcher.plist para que seja executado automaticamente no login.

Na etapa final, um binário de roubo de dados chamado macrasv2 coleta dados de extensões do navegador, bancos de dados de credenciais SQLite e itens do Keychain, compacta-os em um arquivo zip e exfiltra o pacote por meio da API do Telegram Bot. Os pesquisadores encontraram o token do bot do Telegram exposto no binário, o que descreveram como uma falha grave de segurança operacional que poderia permitir que os defensores monitorassem ou interrompessem o canal.

A Equipe Quetzal publicou hashes SHA-256 para todos os principais componentes, juntamente com indicadores de rede apontando para os endereços IP 172.86.113.102 e 144.172.114.220. Pesquisadores de segurança observaram que o kit foi visto em uso por grupos além do Lazarus, sugerindo que as ferramentas foram compartilhadas ou vendidas dentro do ecossistema de agentes de ameaças.

O Lazarus, também rastreado como Famous Chollima por empresas de inteligência de ameaças, foi responsabilizado por bilhões de dólares em roubos de criptomoedas nos últimos anos. As ferramentas anteriores do grupo para macOS incluíam o Applejeus e o Rustbucket. O Mach-O Man segue o mesmo perfil de alvo, ao mesmo tempo em que reduz a barreira técnica para invasões do macOS.

Recomenda-se que as equipes de segurança de empresas de criptomoedas e fintech auditem diretórios do Launchagents, monitorem processos do OneDrive executados a partir de caminhos de arquivo incomuns e bloqueiem o tráfego de saída da API do Telegram Bot quando não for operacionalmente necessário. Os usuários nunca devem colar comandos do Terminal copiados de páginas da web ou links de reuniões não solicitados.

Organizações que operam frotas de macOS em ambientes de criptografia com forte presença da Apple devem tratar qualquer link de reunião urgente e não solicitado como um ponto de entrada em potencial até que seja verificado por meio de um canal de comunicação separado.