-
El método del ataque implica que la propia víctima ejecuta el comando que instala el malware.
-
El kit exfiltra datos robados a través de Telegram, usando el servicio como canal de salida.
Mauro Eldritch, experto en seguridad ofensiva y fundador de la compañía BCA LTD, publicó este 21 de abril en la plataforma de ciberseguridad ANY.RUN un análisis sobre «Mach-O Man», un kit de malware nativo para macOS atribuido al Grupo Lazarus de Corea del Norte.
De acuerdo con el análisis de Eldritch, basado en el reporte de Quetzal Team de Bitso del 13 de abril, «el Grupo Lazarus está llevando a cabo activamente una campaña que convierte la comunicación empresarial rutinaria en una vía directa para el robo de credenciales y la pérdida de datos».
La campaña apunta a empresas de tecnología financiera y del ecosistema de criptomonedas, sectores donde macOS es el sistema operativo predominante entre desarrolladores y ejecutivos, advirtió el experto.
El ataque comienza con una invitación falsa a una reunión enviada por Telegram, frecuentemente desde cuentas comprometidas de contactos conocidos de la víctima. Esta invitación redirige a un sitio que imita plataformas como Zoom, Teams o Google Meet.
El sitio muestra un mensaje de error falso e indica al usuario que copie y pegue un comando en la terminal de su computadora para «resolver el problema de conexión», indica Eldritch.
En ese contexto, el analista de ciberseguridad conocido en X como Vladimir S describió el mecanismo de la siguiente manera:
Recibes una invitación urgente a una reunión por Telegram. El enlace lleva a un sitio falso convincente que te pide pegar un simple comando en la terminal de tu Mac para ‘solucionar el problema de conexión’. Lo ejecutas… y Mach-O Man acaba de tomar control de tu Mac.
Vladimir S, analista de ciberseguridad.
El kit del Grupo Lazarus apunta a las personas, no vulnera el código
El punto crítico, conforme al análisis de Eldritch sobre el reporte de Quetzal Team, es que el ataque no explota ninguna vulnerabilidad técnica del sistema operativo. La víctima ejecuta el comando voluntariamente, lo que le permite al malware evadir muchos controles de seguridad tradicionales diseñados para detectar intrusiones automáticas.
Eldritch señaló también que el kit despliega cuatro componentes en secuencia:
- El primero descarga binarios maliciosos compilados en Go, el lenguaje de programación con el que está construido el kit.
- El segundo recopila información del sistema, incluyendo procesos activos, configuración de red y extensiones de navegadores como Chrome, Safari y Brave.
- El tercero instala un mecanismo de persistencia disfrazado de una aplicación llamada OneDrive, que garantiza que el malware se reactive en cada inicio de sesión.
- El cuarto y último componente roba credenciales almacenadas en el llavero de macOS (el sistema donde el sistema operativo guarda contraseñas y claves de acceso), cookies de sesión y archivos sensibles, y los exfiltra a través de Telegram usando un bot automatizado como canal de salida.
El vínculo con el robo de criptomonedas es directo. El llavero de macOS puede contener claves privadas o frases de recuperación de wallets digitales. Combinadas con las cookies de sesión activas de plataformas de intercambio o custodia, esas credenciales le dan al atacante acceso inmediato a los fondos de la víctima sin necesidad de vulnerar ningún protocolo adicional.
Eldritch indicó en su investigación que varios componentes del kit presentan errores de código, incluyendo uno que entra en un bucle infinito que puede delatar su presencia al consumir recursos del sistema de forma anómala. Estas fallas sugieren que el kit no fue sometido a pruebas exhaustivas antes de su distribución.
Según el informe de Quetzal Team, los objetivos prioritarios son ejecutivos y tomadores de decisiones en empresas fintech y cripto, precisamente porque sus dispositivos concentran acceso a infraestructura crítica y activos financieros.
Lazarus, el mismo grupo detrás del hackeo a Kelp DAO
El analista Clandestine resumió el alcance del riesgo: «Una máquina comprometida puede darle a los atacantes acceso completo a la infraestructura corporativa».
Esta advertencia adquiere peso adicional en el contexto reciente del ecosistema de criptomonedas. Como lo reportó CriptoNoticias, el hackeo del 18 de abril a Kelp DAO, que drenó USD 292 millones, fue atribuido por LayerZero al mismo Grupo Lazarus, específicamente a su unidad TraderTraitor.
Según lo explicado por el equipo de LayerZero, el Grupo Lazarus demostró una comprensión detallada de la infraestructura atacada y operó con velocidad y precisión inusuales.
En ese contexto, el kit «Mach-O Man» sugiere que ese nivel de sofisticación no se limita a ataques sobre infraestructura de protocolos, sino que se extiende a campañas de ingeniería social dirigidas a los equipos humanos que los operan.
