El grupo norcoreano Lazarus Group ha lanzado una nueva campaña de malware para macOS llamada Mach-O Man que utiliza invitaciones falsas a reuniones en línea para engañar a ejecutivos de criptomonedas y fintech y hacer que ejecuten comandos maliciosos en sus propios dispositivos, según la firma de seguridad blockchain CertiK.
El grupo norcoreano Lazarus Group está llevando a cabo una nueva campaña denominada Mach-O Man que tiene como objetivo a ejecutivos de empresas de criptomonedas, fintech y otras compañías de alto valor, disfrazando la entrega de malware como una solución técnica rutinaria durante una reunión de negocios falsa, según Natalie Newson, investigadora sénior de seguridad blockchain de CertiK. La campaña se dio a conocer el 22 de abril y representa uno de los métodos de ingeniería social más sofisticados operativamente del grupo hasta la fecha.
La cadena de ataque comienza con una invitación a una reunión de aspecto urgente enviada a través de Telegram, suplantando una llamada de Zoom, Microsoft Teams o Google Meet. El enlace conduce a un sitio web convincente pero falso que le dice a la víctima que pegue un solo comando en su terminal Mac para resolver un aparente problema de conexión, una técnica que CertiK identifica como ClickFix. Una vez ejecutado, el comando instala un kit de malware modular construido a partir de binarios nativos Mach-O adaptados para entornos Apple, que perfila el host, establece persistencia y exfiltra credenciales y datos del navegador a través de un canal de comando y control basado en Telegram. Críticamente, el kit de herramientas se autodestruye después de completar su tarea, lo que hace que la detección y el análisis forense sean extremadamente difíciles. "Estos pasos de verificación falsos guían a las víctimas a través de atajos de teclado que ejecutan un comando dañino", dijo Newson de CertiK a CoinDesk. "La página parece real, las instrucciones parecen normales y la víctima inicia la acción por sí misma, razón por la cual los controles de seguridad tradicionales a menudo no la detectan".
A diferencia de los ataques de phishing tradicionales que dependen de señales de urgencia o direcciones de remitentes sospechosas, la campaña Mach-O Man está diseñada para parecer completamente rutinaria en el momento de la entrega. Los ejecutivos en criptomonedas y fintech reciben rutinariamente acercamientos en frío de inversores, investigadores y socios comerciales, lo que hace que el formato de invitación a reuniones falsas sea un señuelo creíble de una manera que el phishing generalizado a menudo no lo es. El análisis de CertiK señala que el marco Mach-O Man está vinculado a la unidad Famous Chollima de Lazarus y se distribuye a través de cuentas de Telegram comprometidas que apuntan específicamente a organizaciones de alto valor en el espacio de activos digitales. La mayoría de las víctimas no se darán cuenta de que han sido comprometidas hasta mucho después de que el malware se haya borrado a sí mismo. "Probablemente no lo saben todavía", dijo Newson. "Si lo saben, probablemente no puedan identificar qué variante los afectó".
CertiK ha vinculado la campaña Mach-O Man a una ofensiva más amplia de Lazarus que ha sustraído más de 500 millones de dólares de las plataformas DeFi Drift y KelpDAO en menos de dos semanas, sumando a un total de robos acumulados estimados en 6.7 mil millones de dólares desde 2017. Las Naciones Unidas han estimado previamente que los hackers norcoreanos han robado varios miles de millones de dólares en activos digitales para financiar los programas de armamento del país. "Lo que hace que Lazarus sea especialmente peligroso en este momento es su nivel de actividad", dijo Newson. "Esto no es un hackeo aleatorio. Es una operación financiera dirigida por el estado que opera a una escala y velocidad típicas de las instituciones". CertiK aconseja a los profesionales de las criptomonedas que verifiquen de forma independiente todas las solicitudes de reunión a través de un canal separado antes de hacer clic en cualquier enlace o descargar cualquier archivo adjunto de una invitación no solicitada.
CertiK ha compartido indicadores de compromiso vinculados a la campaña Mach-O Man con la comunidad de seguridad en general para apoyar los esfuerzos de detección y defensa en toda la industria.
