Nueva malware para macOS del Grupo Lazarus se propaga a través de falsas reuniones

Investigadores de seguridad han descubierto una nueva campaña de malware para macOS relacionada con el notorio Grupo Lazarus, un colectivo de hackers vinculado a Corea del Norte. Este grupo, anteriormente responsabilizado por robos masivos de criptomonedas, no solo apunta en este ataque a empresas de criptomonedas, sino también a organizaciones tradicionales.

El malware, denominado “Mach-O Man”, fue identificado esta semana por expertos en ciberseguridad. Según el investigador Mauro Eldritch, el software dañino se propaga mediante ingeniería social, una técnica que engaña a las víctimas para que realicen acciones que vulneran sus sistemas.

Falsas reuniones de Zoom como acceso

El ataque comienza con una invitación a una reunión de Zoom o Google Meet aparentemente legítima. Durante esta falsa reunión, las víctimas reciben instrucciones para ejecutar ciertos comandos en su ordenador. Sin darse cuenta, están instalando el malware.

Debido a que los usuarios realizan las acciones por sí mismos, las medidas de seguridad tradicionales suelen ser eludidas. Esto hace que el ataque sea difícil de detectar.

Acceso a datos sensibles

Una vez instalado, el malware puede acceder a información sensible, como credenciales de inicio de sesión y sistemas internos de las empresas. Esto puede derivar en secuestros de cuentas, filtraciones de datos y pérdidas económicas.

La fase final del ataque incluye un llamado ‘stealer’. Este componente recopila datos de extensiones de navegador, contraseñas guardadas, cookies y el Llavero de macOS. Esta información se envía luego a los atacantes, incluso a través de Telegram.

Para borrar las huellas, el malware se elimina automáticamente al final. Esto dificulta la investigación del ataque.

El Grupo Lazarus amplía sus actividades

El Grupo Lazarus es considerado una de las amenazas cibernéticas más avanzadas a nivel mundial. Se le atribuye, entre otras cosas, el hackeo de aproximadamente 1.4 mil millones de dólares en la plataforma de criptomonedas Bybit en 2025, el mayor robo de criptomonedas hasta la fecha.

Con esta nueva campaña, parece que el grupo está ampliando sus objetivos. Anteriormente centrado principalmente en el sector de las criptomonedas, ahora otras empresas están siendo afectadas con mayor frecuencia.

Aumento de ciberataques avanzados

El descubrimiento sigue a un incidente ocurrido en abril, cuando hackers norcoreanos robaron aproximadamente 100,000 dólares de la billetera de criptomonedas Zerion con la ayuda de inteligencia artificial. Accedieron a cuentas y claves privadas de empleados.

Estos desarrollos demuestran que los ciberataques se están volviendo cada vez más sofisticados y frecuentemente explotan el comportamiento humano. Por ello, los expertos subrayan que, además de la seguridad técnica, la concienciación de los empleados es esencial para prevenir este tipo de ataques.