El 22 de abril, el CISO de empresa SlowMist 23pds publicó un aviso, señalando que el grupo de hackers norcoreano Lazarus Group ha lanzado un nuevo kit de herramientas de malware nativo para macOS, “Mach-O Man”, diseñado específicamente para la industria de las criptomonedas y ejecutivos de alto valor.
Técnicas de ataque y objetivos
Según el informe de análisis de Mauro Eldritch, este ataque utiliza la técnica ClickFix: los atacantes envían, mediante Telegram (usando cuentas de contactos comprometidas), enlaces disfrazados como invitaciones legítimas a reuniones, para dirigir a las víctimas a sitios web falsos que imitan Zoom, Microsoft Teams o Google Meet, y piden a los usuarios que ejecuten comandos en el terminal de macOS para “reparar” problemas de conexión. Esta operación permite a los atacantes obtener acceso al sistema sin activar las medidas de seguridad tradicionales.
Los objetivos del ataque incluyen: credenciales y cookies almacenadas en el navegador, datos del llavero (Keychain) de macOS, y datos de extensiones de navegadores como Brave, Vivaldi, Opera, Chrome, Firefox y Safari. Los datos robados se filtran a través de la Telegram Bot API; el informe indica que los atacantes expusieron tokens de bots de Telegram (fallo de OPSEC), debilitando su seguridad operativa.
Los objetivos del ataque son principalmente desarrolladores, ejecutivos y responsables de la toma de decisiones en entornos de alto valor del sector de tecnología financiera y criptomonedas, así como en entornos empresariales donde macOS se usa ampliamente.
Componentes principales del kit Mach-O Man
Según el análisis técnico de Mauro Eldritch, el kit se compone de los siguientes módulos principales:
teamsSDK.bin: implantador inicial, disfrazado como Teams, Zoom, Google o aplicaciones del sistema; ejecuta el reconocimiento básico de la huella del sistema
D1{cadena de texto aleatoria}.bin: analizador del sistema, recopila el nombre del host, el tipo de CPU, la información del sistema operativo y la lista de extensiones del navegador, y la envía al servidor C2
minst2.bin: módulo de persistencia, crea el directorio y LaunchAgent del disfraz “Antivirus Service” para asegurar que se ejecute continuamente después de cada inicio de sesión
macrasv2: cargador final/robo, recopila credenciales del navegador, cookies y entradas del Keychain de macOS, las empaqueta, las filtra mediante Telegram y se autoelimina
Resumen de indicadores clave de intrusión (IOC)
Según los IOC publicados en el informe de Mauro Eldritch:
IP maliciosa: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Dominio malicioso: update-teams[.]live / livemicrosft[.]com
Archivos clave (parcial): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
Puertos de comunicación C2: 8888 y 9999; principalmente se usan cadenas de características de User-Agent de un cliente HTTP Go
El hash completo y la matriz ATT&CK se encuentran en el informe de investigación original de Mauro Eldritch.
Preguntas frecuentes
¿Qué industrias y objetivos ataca el kit “Mach-O Man”?
Según el aviso de SlowMist 23pds y la investigación de BCA LTD, “Mach-O Man” se enfoca principalmente en la industria de tecnología financiera y las criptomonedas, así como en entornos empresariales de alto valor donde macOS se usa ampliamente; en particular, el grupo de desarrolladores, ejecutivos y responsables de la toma de decisiones.
¿Cómo induce el atacante a los usuarios de macOS a ejecutar comandos maliciosos?
Según el análisis de Mauro Eldritch, los atacantes envían por Telegram enlaces disfrazados como invitaciones legítimas a reuniones, dirigiendo a los usuarios a sitios web falsos que imitan Zoom, Teams o Google Meet; luego les indican que ejecuten comandos en el terminal de macOS para “reparar” problemas de conexión, lo que activa la instalación de malware.
¿Cómo logra “Mach-O Man” la exfiltración de datos?
Según el análisis técnico de Mauro Eldritch, el módulo final macrasv2 recopila credenciales del navegador, cookies y datos del Keychain de macOS, los empaqueta y los filtra a través de la Telegram Bot API; al mismo tiempo, el atacante utiliza scripts de autoeliminación para borrar rastros del sistema.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El hacker de Balancer convierte 7,000 ETH en 204.7 BTC mediante THORChain hoy
Mensaje de Gate News, 24 de abril — El hacker que robó aproximadamente $98 millones en activos de Balancer en noviembre de 2025 ha comenzado a convertir ETH en BTC mediante el protocolo de cadena cruzada THORChain. Hoy, el atacante intercambió 7,000 ETH por 204.7 BTC, valorados en aproximadamente $15.88 millones, con
GateNewsHace10m
Lido propone asignar 2,500 ETH en staking para cerrar el faltante del exploit de Kelp
Mensaje de Gate News, 24 de abril — Lido Labs busca la aprobación de la DAO para asignar hasta 2,500 etheruem en staking (aproximadamente $5.8 millones) con el fin de reducir el déficit de rsETH causado por el reciente exploit de Kelp, según una propuesta publicada el jueves. El puente rsETH de Kelp DAO sufrió un ataque basado en LayerZero el pasado
GateNewshace1h
Slow Mist advierte sobre MioLab, una plataforma de Malware-as-a-Service que se dirige a criptoactivos y billeteras de hardware en macOS
Mensaje de Gate News, 24 de abril — El director de información de seguridad de Slow Mist, 23pds, reveló en X que MioLab es una plataforma altamente comercializada de malware-as-a-service para macOS (MaaS), promovida activamente en foros clandestinos rusos, que ofrece control C2, integración de API y capacidades de ataque personalizadas
GateNewshace2h
El sargento mayor de las fuerzas especiales del ejército de EE. UU. fue arrestado: apostó en Polymarket con información confidencial para la detención de Maduro, obteniendo una ganancia de 400.000 dólares
El Departamento de Justicia de EE. UU. en el Distrito Sur de Nueva York acusa al sargento de las fuerzas especiales del ejército de EE. UU., Gannon Ken Van Dyke, por presuntamente usar información confidencial para apostar en Polymarket sobre el resultado del arresto de Maduro, obteniendo ganancias de aproximadamente 409,881 USD (13 operaciones, del 27-12-2025 al 26-1-2026). Las acusaciones incluyen, entre otras, el uso ilegal de información confidencial, el robo de información no pública, el fraude en transacciones de materias primas, el fraude de transferencias bancarias y transacciones ilegales de dinero. Se trata del primer caso de una acusación federal centrada en el arbitraje entre información privilegiada y mercados de predicción, o que podría influir en el rumbo de la regulación futura.
ChainNewsAbmediahace3h
La policía española incauta 400.000 € en cripto de una plataforma ilegal de piratería de manga; 3 detenidos
Mensaje de Gate News, 24 de abril — La policía española en Almería incautó dos carteras frías de criptomonedas que contenían aproximadamente 400.000 € durante un registro en la mayor plataforma ilegal de distribución de manga del país. Tres personas fueron arrestadas en relación con la operación, que se inició
GateNewshace4h
