Lazarus Agora Mora no Seu MacBook: Mach-O Man, Zoom Falso e o Playbook Norte-Coreano Contra Execs Cripto

Imagine a cena: você é head de engenharia de uma exchange brasileira, recebe no Telegram um convite urgente pra uma call no Google Meet com um fundo de Cingapura. O link leva a uma página idêntica à oficial, com vídeo travando por "um problema de áudio do macOS". A página pede, em tom amigável, que você cole um comando no Terminal pra "resolver o driver". Você é exec de cripto, usa Mac há dez anos, já rodou mil comandos no Terminal. Cola. Vinte segundos depois, seu Keychain inteiro — com senhas de exchanges, chaves de API, tokens de sessão do Vercel, cookies de banco — está num canal privado do Telegram controlado por Pyongyang.

Esse cenário deixou de ser hipotético na semana passada. Em 21 de abril de 2026, a equipe Quetzal de segurança da Bitso, em parceria com a plataforma de análise ANY.RUN, publicou a descoberta de um novo kit modular de malware para macOS apelidado de Mach-O Man — atribuído, com alto grau de confiança, à unidade Famous Chollima do Lazarus Group, o braço de operações cripto da inteligência norte-coreana.

A história, resumida: o mesmo grupo que roubou US$ 1,5 bilhão da Bybit em fevereiro de 2025 agora mudou o alvo. Ao invés de caçar desenvolvedores de bibliotecas de bridge ou operadores de carteiras multisig, Lazarus está indo atrás de executivos. E o vetor preferido é o laptop corporativo que todo mundo jurava ser seguro: o MacBook.

O que é o Mach-O Man, tecnicamente

O nome é referência ao formato executável nativo do macOS (Mach-O) e ao fisiculturista Randy Savage. Por trás da piada, um dos kits mais limpos que Lazarus já desplegou em Mac. Três características definem o Mach-O Man:

• Modular. Não é um único binário. São estágios — dropper, infostealer, beacon C2, self-destruct — que podem ser combinados de acordo com o alvo.
• Sem persistência pesada. Ao contrário de malwares clássicos que plantam LaunchDaemons para sobreviver a reboot, o Mach-O Man executa, exfiltra e pode se apagar em minutos. Foi desenhado para ataques cirúrgicos, não para controle de longo prazo.
• Exfiltração via Telegram. Os dados coletados — credenciais de navegador, cookies de sessão, entradas do Keychain, histórico de terminal, arquivos de carteiras cripto locais — são compactados e enviados para canais privados do Telegram controlados pelos operadores. Sem servidor C2 próprio significa menos footprint forense e mais dificuldade de takedown.

O kit ainda embute um script de autodestruição que usa comandos nativos do sistema para remover o malware e limpar rastros, contornando diálogos de confirmação do usuário. Quando a vítima percebe algo errado, o binário já não existe.

O ataque na prática: ClickFix, a engenharia social perfeita

O gancho técnico é secundário. O ataque real é psicológico, e se chama ClickFix. A sequência é sempre parecida:

1. Primeiro contato por Telegram ou LinkedIn, personalizado. O atacante se faz passar por head de fundo, head de BD de exchange, recrutador de M&A ou repórter de veículo reconhecido. A mensagem tem contexto real — pega dados de posts recentes, eventos que o alvo realmente foi, deals que a empresa anunciou.
2. Convite pra call urgente. "Hoje mesmo, 15 minutos, é sensível ao tempo." O link parece Zoom, Teams ou Google Meet. Não é. É uma réplica idêntica hospedada em domínio parecido (typosquat) ou CDN legítima sequestrada.
3. Bug encenado na call. A página simula problema de áudio ou câmera. Um modal aparece dizendo: "detectamos um problema com seu áudio no macOS. Cole o comando abaixo no Terminal para corrigir."
4. O comando. Em geral, é um one-liner que invoca curl ou osascript para baixar e executar o dropper do Mach-O Man. Em alguns casos observados, o comando é ofuscado via base64 para escapar da percepção do usuário técnico.
5. Exfiltração silenciosa. O binário roda com privilégios do usuário (não precisa de sudo), acessa o Keychain, copia dados sensíveis e envia pro Telegram. Em ambientes corporativos sem EDR específico pra macOS, o alerta é zero.

O nome "ClickFix" já foi visto em campanhas contra o setor financeiro tradicional desde 2024, mas é a primeira vez que vemos um ator APT de tier 1 operacionalizando a técnica em escala contra cripto.

Lazarus em 2026: um rastro de US$ 2 bilhões

O Mach-O Man não surge no vácuo. Ele é a evolução natural de uma sequência de operações que, nos últimos dezoito meses, tornaram a Coreia do Norte o maior ator estatal de roubo cripto do mundo. Os números conhecidos:

• Fevereiro 2025 — Bybit: US$ 1,5 bilhão drenados via injeção de JavaScript malicioso na interface do Safe{Wallet}, após um dev ter sua máquina comprometida. O maior heist cripto da história.
• Abril 2026 — Drift Protocol: US$ 285 milhões sifoneados em uma operação de engenharia social que levou seis meses de infiltração. Atribuída à subunidade UNC4736 — cobertura nossa em Drift Confirma: Hack de US$ 285M Foi Operação de Inteligência Norte-Coreana de 6 Meses.
• Abril 2026 — KelpDAO: US$ 293 milhões em exploit, dos quais a Arbitrum congelou US$ 71 milhões por ação do security council — ver Arbitrum Congela US$ 71 Milhões do Hacker do Kelp.

A consultoria CertiK atribuiu tanto Drift quanto Kelp à Famous Chollima — a mesma unidade que agora opera o Mach-O Man. O padrão é claro: em 2024, Lazarus atacava pontes cross-chain; em 2025, migrou pra supply chain de infraestrutura (Bybit via Safe{Wallet}); em 2026, está caçando pessoas. Não é retrocesso tático. É sofisticação.

Para o quadro completo do mês, vale reler nossa cobertura consolidada em Abril Negro do DeFi: US$ 606 Milhões em Hacks em Apenas 18 Dias.

Por que o foco agora é macOS

Durante anos, a narrativa do "Mac é seguro" era um combo de três coisas: market share menor (menos incentivo pra atacantes), arquitetura Unix-like com sandboxing, e Gatekeeper + notarização barrando binários não assinados. Esse equilíbrio quebrou.

Três fatores empurraram Lazarus pra macOS:

• Concentração de alvos. Execs e engenheiros de cripto usam Mac numa proporção muito maior que a média do mercado. Um único MacBook de CTO de exchange vale mais, em termos de potencial de dano, que cem PCs corporativos aleatórios.
• Defesas menos maduras. EDRs corporativos (Crowdstrike, SentinelOne) têm cobertura de Windows muito mais profunda que macOS. SIEMs corporativos raramente têm regras específicas pra osascript, modificações no Keychain ou uso anômalo de curl | sh.
• ClickFix contorna o Gatekeeper. Quando o usuário cola e executa o comando voluntariamente no próprio Terminal, nenhuma das proteções de notarização se aplica. O ataque não baixa app empacotado — baixa script.

O timing também casa com a expansão do ecossistema cripto latino-americano. Com exchanges brasileiras fechando cerco regulatório com o Banco Central, o volume de ativos sob custódia local cresceu — e com ele, o interesse de atores estatais em comprometer quem manda nessas casas.

Playbook defensivo pra execs e times cripto

A parte prática. Se você é CEO, CTO, head de segurança ou dev sênior de qualquer operação cripto, essas são as ações que fazem sentido executar esta semana, não "no próximo trimestre":

Para o exec individual

1. Regra de ouro: nunca cole comando no Terminal vindo de uma página web. Se a "solução" pro seu problema de áudio é rodar um script, é malware. Sempre. Sem exceção. Áudio e vídeo do macOS não se consertam por shell.
2. Convites de reunião vindos por Telegram ou DM de rede social são suspeitos por padrão. Confirme por canal secundário (e-mail corporativo, WhatsApp verificado) antes de clicar em qualquer link. Custa 30 segundos.
3. Ative FileVault e revise o Keychain. Delete credenciais antigas que você não usa mais. O Mach-O Man não diferencia o que é atual do que é obsoleto — leva tudo.
4. Rotacione senhas e chaves de API críticas a cada 90 dias. Sim, é chato. Mas reduz o blast radius de qualquer comprometimento a um trimestre.
5. Use um password manager que não seja o Keychain para os segredos mais sensíveis (1Password, Bitwarden com master key forte). O Mach-O Man mira especificamente o Keychain.

Para a empresa

1. Instale EDR com cobertura macOS real. Crowdstrike Falcon, SentinelOne Singularity e Jamf Protect têm detecção de comportamentos típicos do Mach-O Man — execução de scripts via osascript, acesso anômalo ao Keychain, conexões outbound pra API do Telegram.
2. Bloqueie a API do Telegram no firewall corporativo, exceto em máquinas que genuinamente precisam. Exfiltração via Telegram é assinatura do Mach-O Man.
3. Treine o time executivo em ClickFix. Phishing tradicional todo mundo reconhece. ClickFix é novo e especificamente desenhado pra quem tem formação técnica.
4. MFA por hardware key (YubiKey), não SMS nem app. Tokens de sessão roubados do Keychain perdem valor se a próxima autenticação exigir tap físico.
5. Segregue wallets de trabalho de wallets pessoais. Se o MacBook pessoal é comprometido, a chave corporativa em hardware wallet separada sobrevive.

O que isso significa pro Brasil

Duas coisas.

Primeiro, o Brasil está no radar. A própria equipe Quetzal da Bitso foi quem primeiro identificou a campanha — o que só faz sentido se o tráfego de ataque passou por infraestrutura ou clientes LatAm. Executivos de exchanges brasileiras, de fintechs de pagamento e de fundos de ativos digitais estão explicitamente entre os alvos.

Segundo, o ecossistema local tem agravantes próprios. Como já cobrimos em Trojan GoPix Evolui, malware adaptado ao contexto brasileiro (Pix, boletos, bancos digitais nacionais) já ronda a cena. A soma de um ataque Lazarus contra um exec com um trojan bancário local já presente na máquina é devastadora. Dinheiro cripto sai pela exfiltração do Keychain; dinheiro fiat sai por Pix fraudulento. No mesmo dia.

E há um terceiro ponto menos óbvio: a onda de deepfake contra KYC biométrico de março e abril cria sinergia perversa com o Mach-O Man. Se o atacante rouba suas credenciais via Mach-O Man e, em seguida, faz a verificação biométrica 2FA via deepfake com foto sua da internet, o combo contorna todas as camadas de defesa de uma exchange média.

O contexto: phishing direcionado subiu 1.400% nos dois primeiros meses de 2026. O Mach-O Man é só a ponta mais sofisticada de uma tendência macro.

A perspectiva ON3X

Três leituras pra fechar.

Um: segurança cripto em 2026 é problema humano, não técnico. Todo ataque de alto impacto deste ano começou em uma pessoa — dev, exec, operador. Protocolos estão mais auditados que nunca. É o humano que continua sendo o elo fraco, e atacantes estatais sabem disso muito antes de nós.

Dois: "Mac é seguro" morreu em 21 de abril de 2026. A higiene digital que execs de Windows internalizaram há duas décadas agora precisa ser replicada no ecossistema Apple. Não é neura, é realismo.

Três: custódia institucional importa. Plataformas reguladas que segregam patrimônio, operam cold storage multisig distribuído e têm pipeline de monitoramento on-chain 24/7 não eliminam o risco — mas transferem pra quem tem escala pra absorver. Exec que guarda tudo em self-custody no próprio MacBook virou, em 2026, o alvo de escolha de Pyongyang.

A pergunta que cada C-level de cripto precisa se fazer ao ler essa matéria é simples: se a próxima call de Zoom falsa chegasse pra mim hoje, eu colaria o comando? A resposta honesta, mesmo pra quem acha que não colaria, costuma ser "depende da pressa e de quem mandou". Exatamente por isso ClickFix funciona. E exatamente por isso o Lazarus está lucrando bilhões.