Investigadores de seguridad han vinculado una nueva campaña de malware para macOS con Lazarus Group, la operación de hackeo vinculada a Corea del Norte detrás de algunos de los mayores robos de la industria cripto.
Detectado el martes, el nuevo kit de malware “Mach-O Man” se distribuye mediante esquemas de ingeniería social “ClickFix” en empresas tradicionales y compañías cripto, según Mauro Eldritch, experto en seguridad ofensiva y fundador de la firma de inteligencia de amenazas BCA Ltd.
Las víctimas son atraídas a una falsa llamada de Zoom o Google Meet, donde se les solicita ejecutar comandos que descargan el malware en segundo plano, permitiendo a los atacantes eludir controles tradicionales sin ser detectados para obtener acceso a credenciales y sistemas corporativos, dijo el investigador de seguridad en un informe del martes.
Los investigadores señalaron que la campaña puede derivar en toma de cuentas, acceso no autorizado a infraestructura, pérdidas financieras y exposición de datos críticos, subrayando cómo Lazarus continúa ampliando sus objetivos más allá de compañías nativas de cripto.
Lazarus Group es el principal sospechoso en algunos de los mayores hackeos de criptomonedas de la historia, incluido el hackeo de USD 1,4 mil millones al exchange Bybit en 2025, el mayor de la industria hasta ahora.
El kit “Mach-O Man” busca implementar malware ladrón oculto
La etapa final de la campaña es un stealer diseñado para extraer datos de extensiones del navegador, credenciales almacenadas en el navegador, cookies, entradas del Llavero de macOS y otra información sensible de los dispositivos infectados.
Tras la recopilación, los datos se archivan en un archivo zip y son extraídos vía Telegram hacia los atacantes. Finalmente, el script de autodestrucción del malware elimina todo el kit utilizando el comando rm del sistema, que omite confirmación del usuario y permisos al eliminar archivos.
El novedoso kit de malware fue reconstruido por el experto en seguridad mediante las capacidades de análisis para macOS del sandbox de malware en la nube Any.run.
A inicios de abril, hackers norcoreanos utilizaron esquemas de ingeniería social habilitados por IA para robar alrededor de USD 100.000 en fondos desde la billetera cripto Zerion, tras obtener acceso a algunas sesiones iniciadas de miembros del equipo, credenciales y claves privadas de la compañía, informó Cointelegraph el 15 de abril.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
