Investigadores de seguridad han identificado una nueva campaña de malware dirigida a macOS, vinculada al grupo Lazarus (con sede en Corea del Norte), que tiene como objetivo a empresas de criptomonedas y tecnología financiera (fintech).
Según un informe de Cointelegraph, el kit de malware 'Mach-O Man' utiliza tácticas de ingeniería social conocidas como 'ClickFix' para infiltrarse en sistemas corporativos.
Los atacantes atraen a las víctimas mediante invitaciones fraudulentas a reuniones de Zoom o Google Meet. Una vez que los usuarios se unen a las llamadas falsas, se les solicita que ejecuten comandos específicos que descargan el malware de forma silenciosa en segundo plano.
Este método permite a los atacantes eludir los controles de seguridad tradicionales sin ser detectados. Según Mauro Eldermacht, experto en seguridad ofensiva y fundador de la empresa de inteligencia de amenazas BCA Ltd, el esquema apunta tanto a empresas tradicionales como a compañías del sector cripto.
Exfiltración de datos a través de Telegram
La etapa final de la campaña consiste en un 'stealer' especializado, diseñado para recolectar información sensible de los dispositivos infectados.
El malware se enfoca en los datos de las extensiones del navegador, credenciales almacenadas, cookies y entradas del Llavero (Keychain) de macOS. Una vez recopilada la información, el kit la archiva en un archivo zip para su posterior extracción.
Los atacantes utilizan Telegram para exfiltrar los datos robados hacia sus propios servidores. Tras completar el robo, un script de autoeliminación emplea el comando 'rm' del sistema para borrar el kit de malware, evitando así la necesidad de confirmación o permisos por parte del usuario.
Los investigadores advierten que esta campaña puede derivar en el secuestro de cuentas, el acceso no autorizado a infraestructuras y pérdidas financieras significativas. La expansión del grupo hacia objetivos en macOS sugiere un cambio de estrategia que va más allá de los ataques puramente centrados en el ecosistema cripto.
El grupo Lazarus ya ha sido vinculado a importantes robos en la industria, incluyendo el hackeo de 1.400 millones de dólares al exchange Bybit en 2025. Informes recientes también indican que el grupo ha utilizado ingeniería social potenciada por IA para sustraer fondos del sector cripto.
