Alerta de Segurança: Cibercrime Organizado Ataca Empresas de Fintech e Criptomoedas

Um grupo norte-coreano conhecido como Lazarus Group está conduzindo uma campanha ativa contra empresas de fintech e criptomoedas, utilizando um kit de malware inédito para macOS, chamado "Mach-O Man". Esse kit é capaz de roubar senhas, sessões de browser e dados do Keychain em dispositivos macOS.

Como Funciona o Ataque

O ataque começa com um convite de reunião falso enviado via Telegram, que leva a um site falso que imita plataformas como Zoom, Microsoft Teams ou Google Meet. Em vez de explorar uma vulnerabilidade técnica, o ataque usa uma técnica chamada ClickFix, que instrui o usuário a copiar e colar um comando no terminal para resolver um problema de conexão. Ao executar esse comando, a vítima instala o malware manualmente.

O Que o Malware Pode Fazer

O Mach-O Man é composto por binários nativos do macOS escritos em Go e pode coletar credenciais salvas nos browsers, cookies de sessão, dados do Keychain do macOS e dados de extensões de browser. Todo o material é compactado num arquivo chamado user_ext.zip e exfiltrado pelo Telegram.

Recomendações de Segurança

A recomendação para equipes de SOC é priorizar análise em sandbox com suporte nativo a macOS durante o processo de triagem. Um único dispositivo comprometido em ambiente corporativo pode resultar em acesso à infraestrutura de produção, plataformas SaaS e ativos financeiros.

No Porto Tech, estamos comprometidos em manter você informado sobre as últimas ameaças de segurança e como proteger seus dispositivos e dados.