O grupo norte-coreano Lazarus Group está conduzindo uma campanha ativa contra empresas de fintech e criptomoedas usando um kit de malware inédito para macOS. Batizado de "Mach-O Man" pelos pesquisadores da equipe Quetzal Team, o kit foi identificado em distribuição ativa e analisado com o sandbox interativo da ANY.RUN.
O ponto de entrada é o Telegram. A vítima recebe um convite de reunião aparentemente enviado por um contato conhecido – na prática, uma conta comprometida pelos operadores. O link leva a um site falso que imita plataformas como Zoom, Microsoft Teams ou Google Meet.
Site falso induz a vítima a instalar o vírus com as próprias mãos
Em vez de explorar uma vulnerabilidade técnica, o ataque usa uma técnica chamada ClickFix. O site exibe uma mensagem de erro informando que há um problema de conexão e instrui o usuário a copiar e colar um comando no terminal para resolvê-lo. Ao executar esse comando, a vítima instala o malware manualmente.
A eficácia da abordagem está basicamente na transferência da ação maliciosa para o próprio usuário. Isso porque muitos controles de segurança monitoram comportamentos automáticos do sistema, não comandos colados e executados manualmente por uma pessoa no terminal.
Kit é composto por binários nativos do macOS escritos em Go
O Mach-O Man é um conjunto de executáveis no formato Mach-O, o formato nativo do macOS, todos escritos em Go. A análise técnica identificou quatro estágios distintos na cadeia de infecção.
O primeiro componente é o stager teamsSDK.bin. Ele baixa um aplicativo macOS falso que imita uma das plataformas suportadas, que pode ser Zoom, Teams, Google Meet ou um modo genérico chamado "System".
Depois, usa a ferramenta nativa codesign do próprio sistema operacional para assinar o bundle, fazendo o aplicativo parecer legítimo para o macOS. A opção Google existe no código, mas exibe a mensagem "not yet implemented" ao ser selecionada.
App falso rouba senha ao simular três falhas consecutivas de autenticação
Após instalado, o aplicativo falso solicita a senha do usuário três vezes seguidas. As duas primeiras tentativas sempre falham, a janela treme como se a senha estivesse incorreta, mesmo quando está certa.
Na terceira, a janela desaparece como se a autenticação tivesse sido concluída com sucesso. Ao final, todos os aplicativos exibem o logo do Zoom com uma mensagem de instalação concluída, independentemente de qual plataforma estavam imitando.
Em paralelo, o próximo estágio é baixado em segundo plano. Esse módulo, identificado como profiler, usa ferramentas nativas do macOS para coletar informações detalhadas da máquina.
Hostname, tipo de CPU, tempo de boot, configuração de rede, processos em execução e extensões de browser instaladas, com foco em Chrome, Firefox, Safari, Brave, Opera e Vivaldi, são enviados ao servidor de comando e controle (C2) dos atacantes.
Persistência é instalada disfarçada de serviço de antivírus
O terceiro componente, minst2.bin, é responsável pela persistência. Ele cria uma pasta chamada "Antivirus Service" e configura um LaunchAgent, o equivalente macOS de um serviço do Windows. Ele serve para reexecutar o malware a cada login do usuário. A infecção sobrevive a reinicializações.
O componente final é o stealer macrasv2. Ele coleta credenciais salvas nos browsers, cookies de sessão, dados do Keychain do macOS, onde o sistema armazena senhas, tokens de autenticação e chaves privadas, e dados de extensões de browser.
Todo o material é compactado num arquivo chamado user_ext.zip e exfiltrado pelo Telegram, usando a própria API da plataforma como canal de saída. Ao final, o script delete_self.sh remove todos os componentes do malware da máquina com o comando rm.
Código tem bugs e token do bot de exfiltração ficou exposto
A análise técnica revelou falhas de implementação no kit. Um dos módulos entra em loop infinito enviando o mesmo arquivo repetidamente ao servidor C2, consumindo recursos do sistema de forma que pode alertar a vítima. Vários outros componentes apresentam funções com erros e comportamentos inesperados, indicando que o malware não passou por testes exaustivos antes do deploy.
O erro mais grave de segurança operacional foi a exposição do token do bot do Telegram usado para exfiltração. Com esse token acessível, qualquer pessoa pode ler as mensagens enviadas pelo malware, interagir com o bot e identificar o operador por trás da operação.
A infraestrutura dos atacantes também expôs serviços como WinRM, Chrome Remote Desktop, RDP e uma cópia do servidor C2 rodando na porta 110.
Tráfego de rede do malware usa portas 8888 e 9999 com User-Agent do Go
O Mach-O Man usa binários nativos do macOS e a própria API do Telegram para se comunicar, o que reduz a visibilidade para soluções tradicionais de EDR (Endpoint Detection and Response).
O tráfego de rede opera nas portas 8888 e 9999 e inclui o User-Agent padrão do cliente HTTP do Go (Go-http-client), um indicador de comprometimento útil para ambientes com monitoramento de rede ativo.
A recomendação para equipes de SOC é priorizar análise em sandbox com suporte nativo a macOS durante o processo de triagem. Um único dispositivo comprometido em ambiente corporativo pode resultar em acesso à infraestrutura de produção, plataformas SaaS e ativos financeiros.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.