Mach-O Man: el malware para macOS que pone en jaque a cripto y fintech

Portada » Noticias » Mach-O Man: el malware para macOS que pone en jaque a cripto y fintech

El descubrimiento de Mach-O Man, un kit de malware nativo para macOS atribuido al Grupo Lazarus de Corea del Norte, ha encendido todas las alarmas en el entorno de las criptomonedas y la tecnología financiera. La campaña combina un engaño muy trabajado en torno a videollamadas de trabajo con herramientas diseñadas para robar credenciales, acceder al llavero de macOS y vaciar cuentas cripto de alto valor.

Lo que inicialmente puede parecer una simple reunión urgente por Zoom, Teams o Google Meet se transforma, en cuestión de minutos, en un camino directo hacia la pérdida de fondos y datos sensibles. Para las empresas europeas y españolas que dependen de equipos Mac en sus puestos clave, el mensaje de los investigadores es claro: este no es un ataque puntual, sino una ofensiva sostenida dirigida a las personas que controlan el dinero.

Related article:

Falsa guía de ChatGPT que instala malware en Mac: así opera la campaña

Quién está detrás de Mach-O Man y a quién está apuntando

Los análisis de distintos equipos de ciberseguridad, entre ellos el Quetzal Team de Bitso, especialistas de CertiK y la plataforma ANY.RUN, coinciden en atribuir Mach-O Man al conocido Grupo Lazarus, también denominado Famous Chollima. Se trata de una de las unidades de ciberoperaciones más activas vinculadas al Estado norcoreano.

Desde 2017, Lazarus habría acumulado un botín estimado en unos 6.700 millones de dólares en criptomonedas, con golpes sonados contra protocolos DeFi, exchanges y servicios cripto como KelpDAO, Drift, Bybit o Zerion. Solo en un periodo reciente de semanas, los atacantes habrían desviado más de 500 millones de dólares en incidentes relacionados con Drift y KelpDAO.

En esta nueva campaña, Mach-O Man se orienta a ejecutivos, desarrolladores, responsables de producto y personal con acceso a tesorerías digitales en fintech, Web3, DeFi y exchanges, muchos de ellos con fuerte presencia en Europa. Son perfiles que suelen trabajar con Mac y tienen acceso directo a wallets corporativas, plataformas SaaS internas y paneles de gestión de liquidez.

Investigadoras como Natalie Newson, de CertiK, subrayan que la intensidad de actividad de Lazarus en los últimos meses es especialmente llamativa: grandes robos a protocolos DeFi y, al mismo tiempo, el despliegue de un kit avanzado para macOS. La conclusión que extraen los expertos es que se trata de una operación financiera estructurada, sostenida por el Estado norcoreano y pensada para drenar capital del ecosistema cripto.

Para las empresas con base en ciudades como Madrid, Barcelona, Valencia, Málaga, Lisboa, Berlín o Ámsterdam, el riesgo es muy concreto: los equipos directivos y técnicos que gestionan integraciones DeFi, criptocustodia o flujos de capital digital se han convertido en objetivos directos. El foco ya no se limita al fallo técnico en un smart contract, sino a la persona que aprueba una transferencia desde su Mac.

Qué es el malware Mach-O Man y cómo está construido

Mach-O Man se define como un kit de malware modular escrito en Go y compilado como binarios Mach-O, el formato nativo de los ejecutables en macOS tanto en máquinas Intel como en Apple Silicon. Esto le permite integrarse de forma natural en el entorno Apple y sortear parte de las barreras que frenan a otros tipos de código mal adaptado.

El kit está diseñado en cuatro grandes etapas encadenadas, cada una con una función específica: descarga inicial de componentes, perfilado del sistema, persistencia y robo de información. Esta arquitectura modular hace posible que Lazarus, y otros grupos que ya estarían aprovechando el mismo kit, ajusten la campaña según el tipo de víctima y el objetivo económico del ataque.

Entre sus capacidades más relevantes se encuentra la interacción con el llavero de macOS (Keychain), donde se almacenan contraseñas, claves privadas y otros secretos críticos. Los módulos del malware también enumeran y analizan extensiones de navegadores como Chrome, Safari, Firefox, Brave, Opera o Vivaldi, lo que abre la puerta al robo de cookies de sesión, tokens de acceso y credenciales guardadas.

Los investigadores han detectado incluso errores de programación en algunos componentes, como un bug que provoca un bucle infinito en el binario de perfilado y dispara el consumo de CPU. Este fallo puede servir como indicador de que un Mac está comprometido, pero también evidencia que el kit se ha desplegado con cierta prisa, probablemente para aprovechar un momento concreto de oportunidades de robo.

El Quetzal Team de Bitso hizo públicos los hash SHA-256 de los principales binarios y varios indicadores de red, incluyendo direcciones IP como 172.86.113.102 y 144.172.114.220, que pueden usarse como referencia en sistemas de monitorización y listas de bloqueo dentro de organizaciones europeas y españolas.

La técnica ClickFix: de la videollamada falsa al comando en la Terminal

El punto de entrada de Mach-O Man no es un exploit sofisticado, sino una jugada de ingeniería social muy pulida conocida como ClickFix. En lugar de aprovechar un fallo de software, los atacantes convencen a la propia víctima para que ejecute el comando malicioso en la Terminal de su Mac.

La secuencia comienza, por lo general, con un mensaje de Telegram que invita a una reunión urgente en Zoom, Microsoft Teams o Google Meet. El contacto parece fiable porque procede de cuentas legítimas que han sido previamente comprometidas o suplantadas: colegas del sector, socios comerciales o incluso técnicos de soporte conocidos.

Cuando la víctima pulsa en el enlace, aterriza en un sitio web falso pero muy convincente, alojado en dominios que imitan servicios reales o muestran mensajes aparentemente oficiales de plataformas como Cloudflare. La página indica un problema de conexión o compatibilidad y propone una solución sencilla: copiar y pegar un comando en la Terminal de macOS.

Ese comando descarga y ejecuta el stager inicial del malware, habitualmente identificado como teamsSDK.bin, mediante curl. Como es la propia persona usuaria quien lanza la orden, macOS interpreta la acción como legítima y mecanismos de seguridad como Gatekeeper no bloquean la ejecución, lo que deja fuera de juego a muchas defensas tradicionales.

En variantes observadas por analistas de amenazas, los atacantes han llegado a secuestrar dominios de proyectos DeFi y reemplazar sus webs por falsos avisos técnicos que piden ejecutar un comando de “verificación”. A través de mensajes, atajos de teclado y supuestos pasos de solución de problemas, el usuario termina introduciendo la orden maliciosa sin sospecharlo.

Las cuatro etapas del ataque en macOS

Una vez que la víctima ha caído en la trampa de ClickFix y ha ejecutado el comando, Mach-O Man despliega un flujo de ataque organizado en cuatro grandes fases, descritas por el Quetzal Team de Bitso y corroboradas por otros investigadores.

En la primera etapa, el stager descarga y lanza binarios adicionales escritos en Go, firmados con un certificado ad hoc para aparentar legitimidad. El sistema presenta un paquete de aplicación falso que pide la contraseña de macOS. Un detalle curioso que han señalado los analistas es que la ventana de inicio de sesión puede “temblar” en los dos primeros intentos y aceptar la credencial en el tercero, una maniobra de diseño pensada para reforzar la sensación de normalidad.

La segunda fase corresponde a un módulo de perfilado del sistema que recoge información sobre el equipo: nombre de host, UUID, tipo de CPU, versión de macOS, procesos activos, configuración de red y extensiones instaladas en los principales navegadores. Con estos datos, los atacantes valoran si el objetivo merece un esfuerzo adicional y adaptan los siguientes pasos del ataque.

En la tercera etapa entra en juego el mecanismo de persistencia. El malware coloca un archivo renombrado como “Onedrive” en una ruta oculta dentro de una carpeta con nombre tipo “Antivirus Service” y registra un LaunchAgent llamado com.onedrive.launcher.plist. De este modo, el componente se ejecuta automáticamente en cada inicio de sesión y mantiene el acceso en un segundo plano difícil de detectar a simple vista.

Finalmente, la cuarta fase activa un stealer de datos conocido como macrasv2, especializado en recolectar información sensible: bases de datos SQLite con credenciales de navegador, cookies de sesión, datos de extensiones de wallets, elementos del llavero de macOS y cualquier otra pieza que permita entrar a cuentas financieras o sistemas internos.

Todo ese contenido se comprime en un archivo y se envía al exterior mediante la API de bots de Telegram. En paralelo, muchos de los componentes ejecutan órdenes de borrado utilizando comandos rm para eliminar rastros locales de la infección, lo que deja a los equipos de respuesta a incidentes con muy pocos artefactos que analizar en el dispositivo afectado.

Telegram como canal de exfiltración y las dificultades para detectar el ataque

Uno de los elementos distintivos de Mach-O Man es su uso intensivo de Telegram como canal de mando y exfiltración. El stealer macrasv2 envía los datos robados a través de peticiones dirigidas a la API de bots de la plataforma, de forma que parte del tráfico malicioso se mezcla con comunicaciones aparentemente legítimas.

Durante el análisis, algunos equipos de seguridad localizaron un token de bot de Telegram embebido directamente en el binario, un fallo importante a nivel de seguridad operativa que permite a los defensores monitorizar o incluso interferir en el canal de comunicación. No obstante, mientras el bot continúe activo, el flujo de información hacia los atacantes se mantiene relativamente discreto y difícil de distinguir sin controles específicos.

Otra característica que complica la defensa es la capacidad de autodestrucción de varios componentes del malware. Tras completar sus tareas principales de robo de credenciales y exfiltración de datos, el kit puede ejecutar comandos de eliminación para borrar archivos y reducir la huella local del ataque. Para cuando la víctima nota movimientos anómalos en sus cuentas o pérdidas de fondos, el malware a menudo ya se ha desvanecido del sistema.

Este enfoque de “golpe rápido y limpio” encaja con una estrategia orientada a entrar, extraer credenciales y desaparecer antes de que las alarmas se disparen. Para bancos digitales, neobancos y startups cripto en España y el resto de Europa que gestionan flotas de Mac, esta filosofía complica la labor de análisis forense, que pasa a depender en gran parte de registros de red, telemetría de seguridad y algunos indicios como picos anómalos de CPU.

En la práctica, los expertos advierten de que muchas organizaciones afectadas podrían no saber todavía que han sido víctimas de Mach-O Man. Y, aunque haya sospechas, no siempre resulta sencillo determinar qué variante ha actuado ni qué alcance ha tenido la filtración de datos, lo que añade una capa extra de incertidumbre a la gestión de incidentes y a las obligaciones regulatorias en el contexto europeo.

Impacto en el ecosistema cripto europeo y español

Mach-O Man se suma a una larga lista de ataques atribuidos a Lazarus contra el sector cripto y fintech, que van desde exploits masivos en protocolos DeFi hasta campañas más discretas basadas en ingeniería social. Casos como el ataque a Bybit por valor de unos 1.400 millones de dólares o el robo de aproximadamente 100.000 dólares a Zerion mediante engaños apoyados en IA muestran la amplitud de su enfoque.

Para el entorno europeo, donde han proliferado los servicios de custodia regulados, los proveedores de infraestructura cripto y las fintech con licencia, el riesgo se dirige cada vez más hacia las personas con mayores privilegios en sistemas y wallets. No solo exchanges o proyectos nativos Web3 están en el punto de mira; también bancos tradicionales con divisiones de banca digital y empresas de pagos que integran activos digitales.

En España, los hubs tecnológicos de Madrid, Barcelona, Valencia o Málaga concentran startups y compañías consolidadas que trabajan con integraciones DeFi, tesorerías en criptomonedas y servicios de tokenización. Para este tipo de organizaciones, un Mac comprometido en la mesa de un ejecutivo de tesorería o de un responsable de producto puede equivaler, en la práctica, a una llave maestra.

Los investigadores recalcan que ya no basta con proteger el perímetro clásico o auditar smart contracts: la frontera crítica está también en el puesto de trabajo del directivo que acepta una videollamada de última hora y sigue instrucciones técnicas sin verificar. En un entorno donde las agendas están repletas y las decisiones se toman a contrarreloj, ese vector humano resulta tan atractivo para los atacantes como cualquier fallo de software.

Todo apunta a que Lazarus y otros grupos que han adoptado Mach-O Man seguirán explotando este tipo de tácticas en Europa y, previsiblemente, en el mercado español, donde la combinación de activos digitales en crecimiento y fuerte presencia de macOS en puestos de decisión ofrece un terreno fértil para campañas de este estilo.

Medidas recomendadas para empresas cripto y fintech con macOS

Ante este escenario, los equipos de ciberseguridad que han estudiado Mach-O Man han propuesto un paquete de medidas prácticas que pueden implementarse con relativa rapidez, especialmente en compañías europeas y españolas con flotas de Mac entre directivos y personal técnico.

En el plano técnico, se recomienda auditar de forma periódica los directorios de LaunchAgents en busca de entradas sospechosas, con especial atención a referencias como com.onedrive.launcher.plist o procesos Onedrive ejecutándose desde rutas inusuales, por ejemplo, carpetas ocultas con nombres del estilo “Antivirus Service”. Este tipo de comprobaciones se puede automatizar mediante herramientas de gestión de flota o scripts internos.

Otra medida clave consiste en bloquear o, al menos, monitorizar el tráfico saliente hacia la API de Telegram Bot desde entornos corporativos donde ese uso no sea imprescindible. No siempre será viable prohibir por completo el uso de Telegram, pero sí es posible aplicar reglas específicas sobre comunicaciones relacionadas con bots para reducir la superficie de exfiltración.

En cuanto a concienciación, los expertos insisten en reforzar una regla sencilla pero crítica: no pegar nunca comandos de Terminal copiados de páginas web, mensajes de chat o enlaces de reuniones no verificados. Esta recomendación requiere campañas formativas constantes, ejemplos prácticos y simulacros, sobre todo entre perfiles con presión de tiempo y agendas cargadas de videollamadas.

También se aconseja confirmar por un segundo canal cualquier invitación urgente que implique pasos técnicos inusuales y considerar la autenticación basada en hardware. Si un supuesto colega pide ejecutar un comando en la Terminal, conviene verificarlo mediante correo corporativo, mensajería interna o llamada telefónica antes de hacer nada. Puede parecer un proceso algo incómodo, pero reduce de forma drástica la eficacia de campañas como ClickFix.

Finalmente, para organizaciones con presencia en España y la UE, resulta fundamental integrar en sus sistemas de detección los indicadores de compromiso asociados a Mach-O Man: hashes de los binarios documentados, direcciones IP relacionadas, patrones de comandos sospechosos en Terminal, picos de CPU causados por procesos desconocidos y tráfico anómalo hacia la API de Telegram Bot. Incluso en escenarios donde el malware se autodestruye, estos rastros pueden delatar un ataque en curso o intentos fallidos.

La aparición de Mach-O Man confirma hasta qué punto la combinación de malware modular, ingeniería social y canales de exfiltración encubiertos puede convertir una videollamada de trabajo en el origen de una brecha grave. Para el ecosistema cripto y fintech europeo, y muy en particular para las empresas españolas que confían en macOS en sus puestos de decisión, el reto inmediato pasa por elevar el listón de los controles técnicos y, sobre todo, por asentar una cultura interna de desconfianza saludable hacia comandos improvisados, reuniones urgentes y supuestas incidencias técnicas que llegan sin previo aviso.