SlowMist 23pds Aviso: El Grupo Lazarus publica un nuevo kit de herramientas de macOS dirigido a las criptomonedas

El 22 de abril, el CISO de empresa SlowMist 23pds publicó un aviso, señalando que el grupo de hackers norcoreano Lazarus Group ha lanzado un nuevo kit de herramientas de malware nativo para macOS, “Mach-O Man”, diseñado específicamente para la industria de las criptomonedas y ejecutivos de alto valor.

Técnicas de ataque y objetivos

Según el informe de análisis de Mauro Eldritch, este ataque utiliza la técnica ClickFix: los atacantes envían, mediante Telegram (usando cuentas de contactos comprometidas), enlaces disfrazados como invitaciones legítimas a reuniones, para dirigir a las víctimas a sitios web falsos que imitan Zoom, Microsoft Teams o Google Meet, y piden a los usuarios que ejecuten comandos en el terminal de macOS para “reparar” problemas de conexión. Esta operación permite a los atacantes obtener acceso al sistema sin activar las medidas de seguridad tradicionales.

Los objetivos del ataque incluyen: credenciales y cookies almacenadas en el navegador, datos del llavero (Keychain) de macOS, y datos de extensiones de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox y Safari. Los datos robados se filtran a través de la Telegram Bot API; el informe indica que los atacantes expusieron tokens de bots de Telegram (fallo de OPSEC), debilitando su seguridad operativa.

Los objetivos del ataque son principalmente desarrolladores, ejecutivos y responsables de la toma de decisiones en entornos de alto valor del sector de tecnología financiera y criptomonedas, así como en entornos empresariales donde macOS se usa ampliamente.

Componentes principales del kit Mach-O Man

Según el análisis técnico de Mauro Eldritch, el kit se compone de los siguientes módulos principales:

teamsSDK.bin: implantador inicial, disfrazado como Teams, Zoom, Google o aplicaciones del sistema; ejecuta el reconocimiento básico de la huella del sistema

D1{cadena de texto aleatoria}.bin: analizador del sistema, recopila el nombre del host, el tipo de CPU, la información del sistema operativo y la lista de extensiones del navegador, y la envía al servidor C2

minst2.bin: módulo de persistencia, crea el directorio y LaunchAgent del disfraz “Antivirus Service” para asegurar que se ejecute continuamente después de cada inicio de sesión

macrasv2: cargador final/robo, recopila credenciales del navegador, cookies y entradas del Keychain de macOS, las empaqueta, las filtra mediante Telegram y se autoelimina

Resumen de indicadores clave de intrusión (IOC)

Según los IOC publicados en el informe de Mauro Eldritch:

IP maliciosa: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

Dominio malicioso: update-teams[.]live / livemicrosft[.]com

Archivos clave (parcial): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin

Puertos de comunicación C2: 8888 y 9999; principalmente se usan cadenas de características de User-Agent de un cliente HTTP Go

El hash completo y la matriz ATT&CK se encuentran en el informe de investigación original de Mauro Eldritch.

Preguntas frecuentes

¿Qué industrias y objetivos ataca el kit “Mach-O Man”?

Según el aviso de SlowMist 23pds y la investigación de BCA LTD, “Mach-O Man” se enfoca principalmente en la industria de tecnología financiera y las criptomonedas, así como en entornos empresariales de alto valor donde macOS se usa ampliamente; en particular, el grupo de desarrolladores, ejecutivos y responsables de la toma de decisiones.

¿Cómo induce el atacante a los usuarios de macOS a ejecutar comandos maliciosos?

Según el análisis de Mauro Eldritch, los atacantes envían por Telegram enlaces disfrazados como invitaciones legítimas a reuniones, dirigiendo a los usuarios a sitios web falsos que imitan Zoom, Teams o Google Meet; luego les indican que ejecuten comandos en el terminal de macOS para “reparar” problemas de conexión, lo que activa la instalación de malware.

¿Cómo logra “Mach-O Man” la exfiltración de datos?

Según el análisis técnico de Mauro Eldritch, el módulo final macrasv2 recopila credenciales del navegador, cookies y datos del Keychain de macOS, los empaqueta y los filtra a través de la Telegram Bot API; al mismo tiempo, el atacante utiliza scripts de autoeliminación para borrar rastros del sistema.