O grupo Lazarus, ligado à Coreia do Norte, está usando um novo kit de malware para macOS chamado Mach-O Man em ataques contra executivos de empresas crypto e fintech. O golpe se apoia em convites falsos para reuniões no Zoom, Teams ou Google Meet e pode abrir caminho para roubo de credenciais, dados e acesso a sistemas críticos.
O grupo Lazarus, associado ao regime da Coreia do Norte, intensificou sua ofensiva contra o setor de criptomoedas com uma nova campanha de malware para macOS. Segundo a CoinDesk, com base em informações da CertiK e em análise técnica publicada pela ANY.RUN, o kit apelidado de Mach-O Man transforma convites de reunião aparentemente rotineiros em uma porta de entrada para roubo de credenciais, sessões de navegador e dados corporativos.
A nova tática mira principalmente executivos e equipes de alto valor em empresas de crypto e fintech. O ponto central do ataque é simples, mas perigoso, porque o alvo é induzido a copiar e colar manualmente um comando no Terminal do Mac para “corrigir” um suposto problema de conexão. Ao fazer isso, a própria vítima entrega acesso inicial ao invasor, o que reduz a chance de detecção imediata por ferramentas tradicionais de segurança.
Como funciona o golpe do falso call no Mac
De acordo com o relato, os operadores do Lazarus enviam mensagens urgentes no Telegram convidando a vítima para uma reunião no Zoom, Microsoft Teams ou Google Meet. O link leva a uma página falsa, mas convincente, que imita essas plataformas e pede a execução de um comando no Terminal do macOS.
A análise da ANY.RUN descreve que o processo baixa binários Mach-O nativos para ambiente Apple, faz coleta de informações do sistema, registra a máquina em um servidor de comando e controle e instala mecanismos de persistência. Em seguida, o malware pode extrair credenciais, sessões de navegador e dados do Keychain do macOS, ampliando o risco de invasão de contas e infraestrutura.
Esse modelo de engenharia social chama atenção porque dispensa a exploração de uma falha clássica de software. Em vez disso, ele explora confiança, urgência e rotina corporativa. É a mesma lógica que tem permitido ao Lazarus migrar de ataques mais diretos para operações mais cirúrgicas, como já apareceu em casos anteriores envolvendo o hack de US$ 286 milhões no Drift Protocol e investigações sobre empresas falsas usadas para atingir desenvolvedores de criptomoedas nos EUA.
Por que o setor crypto segue no radar do Lazarus
A CertiK afirmou à CoinDesk que a atividade recente do grupo indica uma operação sustentada e bem financiada. A Chainalysis estimou que atores ligados à Coreia do Norte acumularam cerca de US$ 6,75 bilhões em criptomoedas roubadas desde 2017, o que ajuda a explicar por que qualquer nova técnica usada por esse grupo ganha relevância imediata para o mercado.
Além do potencial de perdas diretas, o risco aqui é estratégico. Um único Mac comprometido dentro de uma exchange, protocolo DeFi ou prestador de serviço pode abrir acesso a painéis internos, carteiras operacionais, VPNs, chaves e sistemas de deploy. Em um momento em que o mercado ainda monitora os efeitos de grandes incidentes, como o caso em que mais de dois terços dos fundos roubados da Bybit ainda podiam ser rastreados, esse tipo de campanha reforça que a superfície de ataque segue ampla.
Para empresas do setor, o alerta é claro. Reuniões inesperadas com urgência excessiva, páginas que pedem comandos no Terminal e pedidos de “verificação” fora do fluxo normal devem ser tratados como sinais vermelhos. Em vez de confiar no link recebido, a recomendação prática é validar convites por outro canal, limitar privilégios em máquinas de executivos e endurecer controles sobre acesso a sistemas críticos.
O novo kit Mach-O Man ainda mostra que o ecossistema crypto continua sendo um dos principais alvos de operações estatais e semi-estatais. Para o mercado, isso significa que segurança operacional deixou de ser apenas uma camada técnica e passou a ser parte central da gestão de risco.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
