Acabei de ficar a par de algo que tem circulado nos círculos de segurança e que vale a pena prestar atenção se estiver no espaço cripto. Pesquisadores confirmaram que o Lazarus Group — o grupo ligado à Coreia do Norte que esteve por trás de alguns dos maiores roubos de criptomoedas — está a conduzir uma nova campanha de malware para macOS. Esta chama-se Mach-O Man, e está a ser distribuída através de algo chamado ClickFix, uma estrutura de engenharia social que lança uma rede bastante ampla tanto sobre negócios tradicionais quanto sobre empresas de criptomoedas.

Aqui está o que realmente está a acontecer: as vítimas recebem um convite de calendário que parece legítimo para uma chamada no Zoom ou Google Meet. Parece normal, certo? Mas assim que clicam, são solicitadas a executar alguns comandos que silenciosamente baixam o malware em segundo plano. É inteligente porque contorna muitos controles de segurança padrão em que a maioria das pessoas confia. Tudo é projetado para recolher credenciais, dados do navegador, cookies e entradas do keychain — basicamente tudo de valor que esteja no seu computador. Assim que captura tudo, compacta e envia através do Telegram antes de se apagar completamente.

O que vale a pena notar aqui é que isto não se limita mais ao cripto. O Lazarus tem vindo a ampliar de forma constante o seu escopo de alvos nos últimos meses. Vimos-os invadir a Zerion em abril usando engenharia social aprimorada por IA para obter credenciais de equipa e chaves privadas. Antes disso, houve a grande violação de uma bolsa em 2025 que resultou em 1,4 mil milhões de dólares — ainda uma das maiores perdas de cripto já registadas. O padrão é claro: eles estão a tornar-se mais sofisticados e mais ambiciosos.

O ângulo do macOS é particularmente interessante porque muitas equipas de segurança têm, historicamente, focado mais em ambientes Windows. Isso deixou algumas lacunas, especialmente em relação ao controlo de aplicações e à consciência do utilizador nos sistemas Apple. O Lazarus claramente percebeu isso e está a explorá-lo.

Para quem gere um negócio de cripto ou infraestrutura sensível, isto é um alerta. A combinação de engenharia social mais roubo de credenciais continua a ser um dos vetores de ataque mais difíceis de defender. Se ainda não estiver a pensar em acesso com privilégios mínimos, listas de aplicações permitidas e monitorização de sequências estranhas de download e execução, é altura de começar. Também vale a pena rever que dados podem estar a vazar por canais inesperados, como o Telegram.

A lição mais ampla: mesmo que as ameaças específicas ao cripto continuem a estar em destaque, os atacantes estão a expandir o seu alcance por setores. Isso significa que a superfície de ataque para bolsas, custodiante e fornecedores de infraestrutura só continua a crescer. Fique atento — provavelmente veremos novas variantes deste malware surgir com truques de evasão ainda maiores. A convergência de engenharia social, roubo automatizado de credenciais e autoeliminação está a tornar-se um problema real para os defensores em toda a indústria.