Descoberta e escopo da ameaça
O grupo criminoso patrocinado pelo estado norte-coreano Lazarus Group, especificamente sua divisão Chollima, lançou um novo kit de malware modular para macOS conhecido como "Mach-O Man". A descoberta foi realizada por pesquisadores de segurança, incluindo Mauro Eldritch em colaboração com a plataforma ANY.RUN, que analisou o comportamento do malware em sandbox interativo. Este ataque representa uma escalada significativa nas táticas do grupo, que tradicionalmente focava em sistemas Windows e Linux, mas agora direciona explicitamente o ecossistema Apple, historicamente percebido como mais seguro.
O malware é compilado em Go e construído como binários nativos Mach-O, garantindo compatibilidade total tanto com processadores Intel quanto com Apple Silicon (M1, M2, M3). O escopo do ataque é direcionado a executivos de fintech, desenvolvedores de criptomoedas e usuários corporativos de alto valor, explorando a confiança em ferramentas de colaboração para entregar payloads maliciosos.
Vetor de ataque e engenharia social
O vetor de infecção não depende de uma vulnerabilidade de software (zero-day), mas sim de uma técnica de engenharia social sofisticada conhecida como ClickFix. As vítimas recebem mensagens urgentes via Telegram, aparentemente de contatos comprometidos ou falsificados, contendo convites para sessões de vídeo legítimas como Zoom, Microsoft Teams ou Google Meet.
Após clicar no link, o usuário é redirecionado para uma plataforma de colaboração falsa (ex: update-teams[.]live ou livemicrosft[.]com). A página exibe um erro de conexão simulado e instrui o usuário a copiar e executar um comando no terminal para "corrigir" o problema. Este comando único implanta silenciosamente o stager inicial do kit, o teamsSDK.bin.
Análise técnica das quatro fases
O comportamento do Mach-O Man é estruturado em quatro fases distintas, projetadas para garantir persistência, coleta de dados e exfiltração:
- Fase 1 – O Stager (teamsSDK.bin): Baixa um pacote de aplicativo macOS falso que imita Zoom, Teams ou Google Meet. O malware aplica uma assinatura de código ad-hoc para contornar os controles de execução do macOS e solicita a senha da vítima três vezes. A janela treme nas duas primeiras tentativas para simular falha de autenticação, aceitando as credenciais silenciosamente na terceira.
- Fase 2 – O Profiller (D1YrHRTg.bin): Registra o host no servidor de comando e controle (C2) e coleta um perfil abrangente do sistema. Isso inclui nome do host, tipo de CPU, tempo de inicialização, versão do OS, processos em execução, configuração de rede e um inventário completo de extensões de navegador instaladas (Chrome, Firefox, Safari, Brave, Opera, Vivaldi).
- Fase 3 – Persistência (minst2.bin): Cria uma pasta chamada "Antivirus Service", deposita um binário disfarçado como
OneDrivee instala um LaunchAgent (com.onedrive.launcher.plist) para garantir que o malware seja reexecutado a cada login do usuário. - Fase 4 – O Stealer (macrasv2): Coleta credenciais de navegador, cookies de sessão, dados armazenados em SQLite e entradas do macOS Keychain. Tudo é empacotado em
user_ext.zipe exfiltrado via API do Bot do Telegram, um canal que se mistura ao tráfego normal. Um script de auto-exclusão (delete_self.sh) apaga todos os componentes usando o comando nativorm.
Evidências e limitações de segurança
Apesar da sofisticação, os pesquisadores identificaram fraquezas operacionais (OPSEC) notáveis. Os operadores expuseram seu token do bot do Telegram, permitindo que terceiros lessem as mensagens do bot, enviassem mensagens em seu nome e até identificassem o operador, o que facilitou esforços de derrubada. Além disso, vários módulos contêm lógica defeituosa, incluindo um componente de profiler que entra em loop infinito, postando repetidamente dados do sistema para o C2 e potencialmente acionando alertas de exaustão de recursos na máquina da vítima.
Impacto e alcance no Brasil
O Brasil possui um mercado de criptomoedas e fintech em crescimento acelerado, tornando o país um alvo atraente para grupos como o Lazarus. A exposição de credenciais de acesso a carteiras digitais, plataformas de negociação e sistemas bancários pode resultar em perdas financeiras diretas e violações de dados sensíveis sob a Lei Geral de Proteção de Dados (LGPD). A natureza do ataque, que visa executivos e desenvolvedores, aumenta o risco de comprometimento de infraestrutura crítica de produção.
Medidas de mitigação recomendadas
Equipes de segurança devem tratar qualquer prompt de comando de terminal inesperado, mesmo embutido em um fluxo de trabalho de reunião rotineiro, como um indicador de alta confiança de engenharia social. As equipes de SOC são aconselhadas a auditar LaunchAgents em busca de arquivos que se disfarçam como OneDrive ou diretórios "Antivirus Service", bloquear iscas baseadas em terminal no nível do endpoint e implantar ferramentas de sandboxing cross-platform capazes de analisar binários Mach-O nativos do macOS em tempo real.
O que os CISOs devem fazer imediatamente
Um único dispositivo macOS comprometido em um ambiente de fintech ou cripto pode fornecer acesso total à infraestrutura de produção, plataformas SaaS e carteiras de ativos digitais. A detecção precoce é crítica antes que os dados de credenciais sejam exfiltrados. Recomenda-se a implementação de monitoramento de comportamento de usuários e entidades (UEBA) para detectar atividades anômalas de terminal e a revisão de políticas de execução de código no macOS para restringir a execução de binários não assinados.
Perguntas frequentes
É possível recuperar dados após a infecção? A exfiltração via Telegram torna a recuperação difícil sem bloquear o canal de comunicação. A remoção do malware requer a eliminação manual dos LaunchAgents e binários disfarçados.
O ataque afeta apenas usuários finais? Não. O foco em executivos e desenvolvedores sugere que o objetivo é o acesso à infraestrutura corporativa e não apenas dados pessoais.