O director de segurança de informação da Mawang, 23pds, publicou um aviso em 22 de abril, afirmando que a organização de hackers norte-coreana Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS, “Mach-O Man”, especializado no sector das criptomoedas e em quadros executivos de empresas de elevado valor.
Técnicas de ataque e alvos
De acordo com o relatório de análise de Mauro Eldritch, este ataque utiliza a técnica ClickFix: os atacantes enviam, via Telegram (utilizando contas de contactos já comprometidas), ligações disfarçadas como convites legítimos para reuniões, levando o alvo a um site falso que imita Zoom, Microsoft Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “resolver” problemas de ligação. Esta operação permite ao atacante obter acesso ao sistema sem despoletar as medidas de controlo de segurança tradicionais.
Os dados-alvo incluem: credenciais e cookies guardados no navegador, dados do macOS Keychain, e dados das extensões de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox e Safari. Os dados exfiltrados são divulgados através da Telegram Bot API; o relatório indica que os atacantes expuseram tokens de bots do Telegram (falha de OPSEC), enfraquecendo a sua segurança operacional.
Os alvos do ataque são principalmente programadores, executivos e decisores em ambientes empresariais de elevado valor, nomeadamente nas áreas de fintech e criptomoedas, bem como em ambientes em que o macOS é amplamente utilizado.
Principais componentes do kit Mach-O Man
De acordo com a análise técnica de Mauro Eldritch, o kit é composto pelos seguintes módulos principais:
teamsSDK.bin: injetor inicial, disfarçado como Teams, Zoom, Google ou aplicação do sistema, executa reconhecimento básico de impressão digital do sistema
D1{cadeia_aleatória}.bin: analisador do sistema, recolhe o nome do anfitrião, tipo de CPU, informação do sistema operativo e a lista de extensões do navegador e envia para o servidor C2
minst2.bin: módulo de persistência, cria o diretório disfarçado “Antivirus Service” e um LaunchAgent para garantir execução contínua após cada início de sessão
macrasv2: analisador final (roubo), recolhe credenciais do navegador, cookies e entradas do macOS Keychain, empacota os dados, exfiltra-os via Telegram e elimina-se a si próprio
Resumo dos indicadores de comprometimento (IOC) críticos
De acordo com os IOCs publicados no relatório de Mauro Eldritch:
IP malicioso: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
domínio malicioso: update-teams[.]live / livemicrosft[.]com
ficheiros críticos (parte): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
porta de comunicação C2: 8888 e 9999; utiliza principalmente a cadeia de caraterísticas User-Agent do cliente Go HTTP
O valor hash completo e a matriz ATT&CK encontram-se no relatório de investigação original de Mauro Eldritch.
Perguntas frequentes
“Mach-O Man” a que indústrias e objetivos se destina?
De acordo com o aviso da Mawang 23pds e com a investigação da BCA LTD, o “Mach-O Man” visa principalmente o sector de fintech e criptomoedas, bem como ambientes empresariais de elevado valor em que o macOS é amplamente utilizado, especialmente o grupo de programadores, executivos e decisores.
Como é que os atacantes induzem os utilizadores de macOS a executarem comandos maliciosos?
De acordo com a análise de Mauro Eldritch, os atacantes enviam via Telegram ligações disfarçadas como convites legítimos para reuniões, conduzindo os utilizadores a um site falso que imita Zoom, Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “corrigir” problemas de ligação, desencadeando assim a instalação do malware.
Como é que o “Mach-O Man” implementa a exfiltração de dados?
De acordo com a análise técnica de Mauro Eldritch, o módulo final macrasv2 recolhe credenciais do navegador, cookies e dados do macOS Keychain, empacota-os e exfiltra-os via Telegram Bot API; em simultâneo, os atacantes utilizam um script de eliminação automática para limpar vestígios do sistema.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Protocolo de Privacidade Umbra Encerra o Front-end para Impedir Atacantes de Branquear Fundos Roubados do Kelp
Mensagem do Gate News, 22 de Abril — O protocolo de privacidade Umbra encerrou o seu website de front-end para evitar que os atacantes usem o protocolo para transferir fundos roubados na sequência de ataques recentes, incluindo a violação do protocolo Kelp que resultou em perdas superiores a $280 milhões. Aproximadamente $800,000 em fundos roubados
GateNews59m atrás
Justin Sun processa a World Liberty Financial por tokens WLFI congelados e direitos de governação
Mensagem da Gate News, 22 de abril — Justin Sun apresentou uma ação judicial num tribunal federal da Califórnia contra a World Liberty Financial (WLF), um projeto DeFi apoiado por Eric Trump e Donald Trump Jr., alegando que a equipa congelou todas as suas participações WLFI, removeu os seus direitos de voto e ameaçou queimar permanentemente
GateNews3h atrás
O atacante do Venus Protocol transferiu 2301 ETH, transferindo para o Tornado Cash para limpeza
De acordo com uma análise on-chain da analista de Ai “Ai A姨” a 22 de abril, os atacantes do Venus Protocol transferiram 2.301 ETH (cerca de 5,32 milhões de dólares) para o endereço 0xa21…23A7f há 11 horas; em seguida, enviaram os fundos em lotes para o misturador cripto Tornado Cash para os lavar; até ao momento da monitorização, o atacante ainda detinha cerca de 17,45 milhões de dólares em ETH na cadeia.
MarketWhisper4h atrás
Divulgação de uma vulnerabilidade de dia zero no CometBFT; os nós da rede Cosmos (no valor de 8 mil milhões de dólares) enfrentam o risco de deadlock fatal
A investigadora de segurança Doyeon Park revelou a 21 de abril que existe uma vulnerabilidade zero-day de elevada gravidade com CVSS 7.1 na camada de consenso do Cosmos, CometBFT, que poderá permitir que nós sejam atacados por pares maliciosos na fase de sincronização de blocos (BlockSync) e fiquem em deadlock, afetando uma rede que protege mais de 8 mil milhões de dólares em ativos.
MarketWhisper4h atrás
O Grupo Lazarus da Coreia do Norte Lança Novo Malware para macOS Mach-O Man com Foco em Cripto
Resumo: O Lazarus Group lançou um kit de malware nativo para macOS chamado Mach-O Man, destinado a plataformas de cripto e a executivos de alto valor; a SlowMist alerta os utilizadores para exercerem cautela contra ataques.
Abstract: O artigo relata que o Lazarus Group revelou o Mach-O Man, um kit de malware nativo para macOS destinado a plataformas de criptomoeda e a executivos de alto valor. A SlowMist alerta os utilizadores para exercerem cautela para mitigar potenciais ataques.
GateNews5h atrás
Uma fraude de portagens em Bitcoin surge no Estreito de Ormuz: um navio é atacado mesmo depois de pagar
Segundo a CoinDesk, a 22 de abril, a empresa de serviços de risco marítimo Marisks emitiu um aviso, afirmando que os burlões se fazem passar por autoridades iranianas para enviar mensagens a várias empresas de navegação, exigindo Bitcoin ou USDT como “portagem” para atravessar o Estreito de Ormuz. A Marisks confirmou que as mensagens em questão não provêm de canais oficiais iranianos e, de acordo com a Reuters, disse que acredita que pelo menos um navio terá sido enganado, tendo ainda sido alvo de fogo de artilharia quando, durante o fim de semana, tentou passar.
MarketWhisper5h atrás
