SlowMist 23pds aviso: O grupo Lazarus publicou um novo kit de ferramentas para macOS direcionado a criptomoedas

O director de segurança de informação da Mawang, 23pds, publicou um aviso em 22 de abril, afirmando que a organização de hackers norte-coreana Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS, “Mach-O Man”, especializado no sector das criptomoedas e em quadros executivos de empresas de elevado valor.

Técnicas de ataque e alvos

De acordo com o relatório de análise de Mauro Eldritch, este ataque utiliza a técnica ClickFix: os atacantes enviam, via Telegram (utilizando contas de contactos já comprometidas), ligações disfarçadas como convites legítimos para reuniões, levando o alvo a um site falso que imita Zoom, Microsoft Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “resolver” problemas de ligação. Esta operação permite ao atacante obter acesso ao sistema sem despoletar as medidas de controlo de segurança tradicionais.

Os dados-alvo incluem: credenciais e cookies guardados no navegador, dados do macOS Keychain, e dados das extensões de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox e Safari. Os dados exfiltrados são divulgados através da Telegram Bot API; o relatório indica que os atacantes expuseram tokens de bots do Telegram (falha de OPSEC), enfraquecendo a sua segurança operacional.

Os alvos do ataque são principalmente programadores, executivos e decisores em ambientes empresariais de elevado valor, nomeadamente nas áreas de fintech e criptomoedas, bem como em ambientes em que o macOS é amplamente utilizado.

Principais componentes do kit Mach-O Man

De acordo com a análise técnica de Mauro Eldritch, o kit é composto pelos seguintes módulos principais:

teamsSDK.bin: injetor inicial, disfarçado como Teams, Zoom, Google ou aplicação do sistema, executa reconhecimento básico de impressão digital do sistema

D1{cadeia_aleatória}.bin: analisador do sistema, recolhe o nome do anfitrião, tipo de CPU, informação do sistema operativo e a lista de extensões do navegador e envia para o servidor C2

minst2.bin: módulo de persistência, cria o diretório disfarçado “Antivirus Service” e um LaunchAgent para garantir execução contínua após cada início de sessão

macrasv2: analisador final (roubo), recolhe credenciais do navegador, cookies e entradas do macOS Keychain, empacota os dados, exfiltra-os via Telegram e elimina-se a si próprio

Resumo dos indicadores de comprometimento (IOC) críticos

De acordo com os IOCs publicados no relatório de Mauro Eldritch:

IP malicioso: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

domínio malicioso: update-teams[.]live / livemicrosft[.]com

ficheiros críticos (parte): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin

porta de comunicação C2: 8888 e 9999; utiliza principalmente a cadeia de caraterísticas User-Agent do cliente Go HTTP

O valor hash completo e a matriz ATT&CK encontram-se no relatório de investigação original de Mauro Eldritch.

Perguntas frequentes

“Mach-O Man” a que indústrias e objetivos se destina?

De acordo com o aviso da Mawang 23pds e com a investigação da BCA LTD, o “Mach-O Man” visa principalmente o sector de fintech e criptomoedas, bem como ambientes empresariais de elevado valor em que o macOS é amplamente utilizado, especialmente o grupo de programadores, executivos e decisores.

Como é que os atacantes induzem os utilizadores de macOS a executarem comandos maliciosos?

De acordo com a análise de Mauro Eldritch, os atacantes enviam via Telegram ligações disfarçadas como convites legítimos para reuniões, conduzindo os utilizadores a um site falso que imita Zoom, Teams ou Google Meet, e pedem ao utilizador que execute comandos no terminal do macOS para “corrigir” problemas de ligação, desencadeando assim a instalação do malware.

Como é que o “Mach-O Man” implementa a exfiltração de dados?

De acordo com a análise técnica de Mauro Eldritch, o módulo final macrasv2 recolhe credenciais do navegador, cookies e dados do macOS Keychain, empacota-os e exfiltra-os via Telegram Bot API; em simultâneo, os atacantes utilizam um script de eliminação automática para limpar vestígios do sistema.